WORM_SOHANAD.MSM

2012年10月8日

解析者: Erika Bianca Mendoza

プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: ワーム
破壊活動の有無: なし
暗号化: なし
感染報告の有無: はい

概要

感染経路リムーバブルドライブを介した感染活動

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ワームは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。

詳細

ファイルサイズ 157,953 bytes

タイプ EXE

メモリ常駐はい

発見日 2011年4月4日

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%Windows%\Network-IPv6\network.exe
%Windows%\astry.exe
%Windows%\scvhost.exe
%Windows%\Network-IPv6\network.exe
%System%\scvhost.exe
%User Profile%\winlogon.exe
%User Profile%\system.exe

(註：%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

ワームは、以下のフォルダの属性をシステムフォルダおよび隠しフォルダに設定します。これにより、自身のコンポーネントの検出および削除を避けます。

{removable drive}\astry

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
UserLogon = %UserProfile%\winlogon.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Network IPv6 = %WINDOWS%\Network-IPv6\network.exe

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Tips
50 = Iloveu astry and never forget you

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableRegistryTools = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableRegedit = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableTaskMgr = 0

ワームは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
NOHIDDEN
HKeyRoot = 1010

(註：変更前の上記レジストリ値は、「dword:80000001」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
Text = Akan gue ingat semua

(註：変更前の上記レジストリ値は、「@shell32.dll,-30500」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
DefaultValue = 1

(註：変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
HKeyRoot = 1018

(註：変更前の上記レジストリ値は、「dword:80000001」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\HideFileExt
Type =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\HideFileExt
Text = Lo dugem terus

(註：変更前の上記レジストリ値は、「@shell32.dll,-30503」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\NetCrawler
Text = Terlalu banyak nuntut

(註：変更前の上記レジストリ値は、「@shell32.dll,-30509」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\PersistBrowsers
Text = Lo gak romantis

(註：変更前の上記レジストリ値は、「@shell32.dll,-30513」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ShowCompColor
Text = Otak lo mesum

(註：変更前の上記レジストリ値は、「@shell32.dll,-30512」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ShowFullPath
Text = Lo bego

(註：変更前の上記レジストリ値は、「@shell32.dll,-30504」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ShowFullPathAddress
Text = Gue pandang2x lo jelek

(註：変更前の上記レジストリ値は、「@shell32.dll,-30505」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ShowInfoTip
Text = Jarang jajan

(註：変更前の上記レジストリ値は、「@shell32.dll,-30502」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SimpleSharing
Text = Gak punya mobil

(註：変更前の上記レジストリ値は、「@shell32.dll,-30518」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
Text = gue ada pacar baru

(註：変更前の上記レジストリ値は、「@shell32.dll,-30508」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Thickets
Text = Hidup bersama lo :

(註：変更前の上記レジストリ値は、「Managing pairs of Web pages and folders」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Thickets
Bitmap = C:\WINDOWS\SYSTEM32\SHELL32.DLL,29

(註：変更前の上記レジストリ値は、「C:\WINDOWS\System32\SHELL32.DLL,4」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Thickets\
AUTO
Text = Bakalan susah

(註：変更前の上記レジストリ値は、「Show and manage the pair as a single file」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Thickets\
NOHIDE
Text = Biasa aza

(註：変更前の上記レジストリ値は、「Show both parts but manage as a single file」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Thickets\
NONE
Text = Bakalan senang

(註：変更前の上記レジストリ値は、「Show both parts and manage them individually」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\WebViewBarricade
Text = Gue masih cinta lo

(註：変更前の上記レジストリ値は、「@shell32.dll,-30510」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = explorer.exe, scvhost.exe

(註：変更前の上記レジストリ値は、「Explorer.exe」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = C:\WINDOWS\system32\userinit.exe,

(註：変更前の上記レジストリ値は、「C:\WINDOWS\system32\Userinit.exe,scvhost.exe」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder
Text = Gue pikir2x lo itu:

(註：変更前の上記レジストリ値は、「@shell32.dll,-30498」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ClassicViewState
Text = Adik lo banyak

(註：変更前の上記レジストリ値は、「@shell32.dll,-30506」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ControlPanelInMyComputer
Text = Pacar lo Banyak

(註：変更前の上記レジストリ値は、「@shell32.dll,-30497」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\DesktopProcess
Text = Kurang taat ibadah

(註：変更前の上記レジストリ値は、「@shell32.dll,-30507」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\DisableThumbCache
Text = Sok tau

(註：変更前の上記レジストリ値は、「@shell32.dll,-30517」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\FolderSizeTip
Text = Babe lo galak

(註：変更前の上記レジストリ値は、「@shell32.dll,-30514」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\FriendlyTree
Text = Gue kangen berat

(註：変更前の上記レジストリ値は、「@shell32.dll,-30511」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\FriendlyTree
CheckedValue = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden
Text = Semua tentang lo :

(註：変更前の上記レジストリ値は、「@shell32.dll,-30499」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
NOHIDDEN
Text = Akan gue lupakan semua

(註：変更前の上記レジストリ値は、「@shell32.dll,-30501」となります。)

感染活動