![Trend Micro Security](https://www.trendmicro.com/content/dam/trendmicro/global/en/global/logo/logo-desktop.png)
WORM_PALEVO.APQ
Trojan:Win32/Rimecud.A (Microsoft), P2P-Worm.Win32.Palevo.gkji (Kaspersky), W32/Worm-FDQ!A14E793B0B2B (McAfee), Trojan.ADH.2 (Symantec)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
![](/vinfo/imgFiles/JPlegend.jpg)
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
詳細
侵入方法
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\etkrkf.exe
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%User Profile%\etkrkf.exe"
感染活動
ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- {removable drive letter}:\hurgheda
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {removable drive letter}:\hurgheda\exwan.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[autorun]
{gabage}
shell\\open\\command=hurgheda\exwan.exe
{gabage}
action=Open folder to view files using Windows Explorer
{gabage}
Shell\\Open\\command=hurgheda\exwan.exe
{gabage}
shellexecute=hurgheda\exwan.exe
{gabage}
shell\\explore\\command=hurgheda\exwan.exe
{gabage}
icon=SHELL32.dll,4
{gabage}
open=hurgheda\exwan.exe
{gabage}
USEAUTOPLAY=1
{gabage}
その他
ワームは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}a.{BLOCKED}e.com
- {BLOCKED}a.{BLOCKED}k.net
- {BLOCKED}a.{BLOCKED}est.com
- {BLOCKED}t.{BLOCKED}e.kz