WORM_OTORUN.HW

2012年10月24日

解析者: Mark Joseph Manahan

別名:

Worm:Win32/Autorun.ABS (Microsoft), W32/Autorun.worm.bdl (McAfee), Win32/Agent.NHY worm (Eset)

プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: ワーム
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

ワームは、リムーバブルドライブを介してコンピュータに侵入します。ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 102,400 bytes

タイプ EXE

発見日 2012年10月23日

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%System%\wcynsvc.exe
%System%\wcynsvc.ocx

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

自動実行方法

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetwisk
ImagePath = "%System%\wcynsvc.exe"

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetwisk

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETWISK

感染活動

ワームは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。

No Delete{multiple spaces}.exe
{folder name}{multiple spaces}.exe

その他

ワームは、以下の不正なWebサイトにアクセスします。

{BLOCKED}ng55.3322.org:80
{BLOCKED}ng33.gicp.net:80

ワームは、以下のファイルの属性を隠しファイルおよびシステムファイル属性に設定します。

{drive letter}:\{folder name}