WORM_PALEVO.APM
VirTool:Win32/VBInject.LX (Microsoft), Trojan.Usuge!gen3 (Symantec), Mal/VBCheMan-C (Sophos), W32/VB.BPN!worm (Fortinet), P2P-Worm.Win32.Palevo (Ikarus), Win32/Bflient.K worm (ESET)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %Application Data%\iukdqw.exe
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon - for Windows OS other than Vista and 7
Taskman = "%Application Data%\iukdqw.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon - for Windows Vista and 7
Shell = "explorer.exe,%Application Data%\iukdqw.exe"
その他
ワームは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}ate.com
- http://{BLOCKED}m.{BLOCKED}ate.com
- http://{BLOCKED}atz.com
- http://{BLOCKED}z.com
- http://{BLOCKED}.{BLOCKED}z.com
- https://{BLOCKED}s.{BLOCKED}z.com