Trend Micro Security

WORM_PRONNY.JDN

2014年6月14日
 解析者: Mark Joseph Manahan   
 別名:

Mal/VB-ALW (Sophos) ,Win32/Pronny.LZ worm (Eset)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

  詳細

ファイルサイズ 143,360 bytes
タイプ EXE
メモリ常駐 なし
発見日 2014年6月8日

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

  • {removable drive letter}:\movies.lnk
  • {removable drive letter}:\music.lnk
  • {removable drive letter}:\favourites.lnk
  • {removable drive letter}:\passwords.lnk
  • {removable drive letter}:\pictures.lnk
  • {removable drive letter}:\private.lnk
  • {removable drive letter}:\search.lnk
  • {removable drive letter}:\secret folder.lnk

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %User Profile%\{random foldername}\{random file name}.exe

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random file name} = "%User Profile%\{random foldername}\{random file name}.exe /{random char}"

他のシステム変更

ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {drive letter}:\i love you.exe
  • {drive letter}:\naked.exe
  • {drive letter}:\password.exe
  • {drive letter}:\sexy.exe
  • {drive letter}:\webcam.exe
  • {drive letter}:\{random filename}.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}.{BLOCKED}.114.0
  • {BLOCKED}.{BLOCKED}.117.0
  • {BLOCKED}.{BLOCKED}.66.0
  • {BLOCKED}.{BLOCKED}.190.0
  • {BLOCKED}.{BLOCKED}.0.0
  • {BLOCKED}.{BLOCKED}.113.0
  • {BLOCKED}.{BLOCKED}.0.0
  • {BLOCKED}.{BLOCKED}.0.0
  • {BLOCKED}.{BLOCKED}.0.0
  • {BLOCKED}.{BLOCKED}.138.0
  • {BLOCKED}.{BLOCKED}.20.0
  • {BLOCKED}.{BLOCKED}.216.0
  • {BLOCKED}.{BLOCKED}.72.121
  • {BLOCKED}.{BLOCKED}.237.0
  • {BLOCKED}.{BLOCKED}.55.0
  • {BLOCKED}.{BLOCKED}.222.0
  • {BLOCKED}.{BLOCKED}.169.0
  • {BLOCKED}.{BLOCKED}.117.0
  • {BLOCKED}.{BLOCKED}.116.0
  • {BLOCKED}.{BLOCKED}.0.0
  • {BLOCKED}.{BLOCKED}.71.0
  • {BLOCKED}.{BLOCKED}.149.0
  • {BLOCKED}.{BLOCKED}.221.0
  • {BLOCKED}.{BLOCKED}.103.0
  • {BLOCKED}.{BLOCKED}.32.21
  • {BLOCKED}.{BLOCKED}.34.21
  • {BLOCKED}.{BLOCKED}.36.21
  • {BLOCKED}.{BLOCKED}.38.21
  • {BLOCKED}.{BLOCKED}.68.0
  • {BLOCKED}.{BLOCKED}.98.0
  • {BLOCKED}.{BLOCKED}.168.0
  • {BLOCKED}.{BLOCKED}.136.0
  • {BLOCKED}.{BLOCKED}.210.0
  • {BLOCKED}.{BLOCKED}.58.0
  • {BLOCKED}.{BLOCKED}.62.0
  • {BLOCKED}.{BLOCKED}.66.0
  • {BLOCKED}.{BLOCKED}.67.0
  • {BLOCKED}.{BLOCKED}.93.201
  • {BLOCKED}.{BLOCKED}.125.0
  • {BLOCKED}.{BLOCKED}.100.0
  • {BLOCKED}.{BLOCKED}.73.0
  • {BLOCKED}.{BLOCKED}.0.0
  • {BLOCKED}.{BLOCKED}.0.0
  • {BLOCKED}.{BLOCKED}.112.0
  • {BLOCKED}.{BLOCKED}.67.100
  • {BLOCKED}.{BLOCKED}.34.46
  • {BLOCKED}.{BLOCKED}.245.0
  • {BLOCKED}.{BLOCKED}.120.0
  • {BLOCKED}.{BLOCKED}.41.0
  • {BLOCKED}.{BLOCKED}.43.0
  • {BLOCKED}.{BLOCKED}.44.0
  • {BLOCKED}.{BLOCKED}.183.0
  • {BLOCKED}.{BLOCKED}.169.0
  • {BLOCKED}.{BLOCKED}.174.0
  • {BLOCKED}.{BLOCKED}.197.0
  • {BLOCKED].{BLOCKED}.58.0
  • {BLOCKED].{BLOCKED}.72.0
  • {BLOCKED}.{BLOCKED}.143.0
  • {BLOCKED}.{BLOCKED}.166.0
  • {BLOCKED}.{BLOCKED}.167.0
  • {BLOCKED}.{BLOCKED}.230.0
  • {BLOCKED}.{BLOCKED}.13.0
  • {BLOCKED}.{BLOCKED}.236.0
  • {BLOCKED}.{BLOCKED}.139.0
  • {BLOCKED}.{BLOCKED}.196.0
  • {BLOCKED}.{BLOCKED}.85.0