WORM_SCAR.TF

2012年10月8日

解析者: kathleenno

プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: ワーム
破壊活動の有無: なし
暗号化: なし
感染報告の有無: はい

概要

感染経路すべての物理ドライブ内に自身のコピーを作成, リムーバブルドライブを介した感染活動

ワームは、すべてのリムーバブルドライブ内に自身のコピーを作成します。ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、特定のWebサイトにアクセスし、情報を送受信します。

詳細

ファイルサイズ 153,575 bytes

タイプ EXE

メモリ常駐はい

発見日 2011年4月27日

ペイロードシステムセキュリティへの感染活動

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%User Temp%\dovq~.exe

(註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
WinC = %User Temp%\dovq~.exe

他のシステム変更

ワームは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%User Temp%\dovq~.exe = %User Temp%\dovq~.exe:*:Enabled:Windows Live 2010

ワームは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 2

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

(註：変更前の上記レジストリ値は、「1」となります。)

感染活動

ワームは、すべてのリムーバブルドライブ内に自身のコピーを作成します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
open=ESPFOLDER.exe
shell\open=abrir
shell\open\Command="ESPFOLDER.exe -e"
shell\explore=explorar
shell\explore\Command="ESPFOLDER.exe -e"

バックドア活動

ワームは、以下のWebサイトにアクセスし、情報を送受信します。

http://{BLOCKED}os.multimania.es/v77/MYC/CT/sv.php