![Trend Micro Security](https://www.trendmicro.com/content/dam/trendmicro/global/en/global/logo/logo-desktop.png)
WORM_SPYBOT.BUQ
W32/Sality.AA(Fortinet), Virus:Win32/Sality.AM(Microsoft), Win32/Sality.NAR virus(NOD32), W32/Autorun.worm.ev(McAfee)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
![](/vinfo/imgFiles/JPlegend.jpg)
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、特定のレジストリ値を追加し、タスクマネージャを無効にします。これにより、通常はタスクマネージャを介して行うワームのプロセスの終了が実行できなくなります。
ワームは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ワームは、Internet Explorer(IE)のゾーン設定を変更します。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のファイルを作成します。
- {removable drive letter}:\lbmxc.cmd
- %System%\{random folder name}\{malware filename}.exe
- %System%\{random folder name}\{random filename}.{random extensions}
- %Windows%\LastGood\INF\oem13.inf
- %Windows%\LastGood\INF\oem13.PNF
- %Windows%\inf\oem13.inf
- %Windows%\inf\oem13.PNF
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKLM\Software\Microsoft\
Windows\CurrentVersion\Run
{malware filename} = "%System%\{random number}\{malware filename}.exe
ワームは、Windows起動時に自動実行されるよう<スタートアップ>フォルダ内に以下のファイルを作成します。
- {malware filename}.lnk
他のシステム変更
ワームは、以下のレジストリキーを追加します。
HKCU\Software\{username}{random numbers}
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
ワームは、以下のレジストリキーを変更します。
HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableRegistryTools = "1"
(註:変更前の上記レジストリ値は、「"0"」となります。)
HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"
(註:変更前の上記レジストリ値は、「"1"」となります。)
HKLM\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
Enablefirewall = "0"
(註:変更前の上記レジストリ値は、「"1"」となります。)
HKLM\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = "0"
(註:変更前の上記レジストリ値は、「"1"」となります。)
ワームは、以下のレジストリ値を追加し、タスクマネージャを無効にします。
HKCU\Software\Microsoft\
Windows\CurrentVersionPolicies\system
DisableTaskMgr = "1"
ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。
HKCU\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"
ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKLM\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{application path and filename} = "{application path and filename}:*:Enabled:ipsec"
ワームは、以下のレジストリキーを削除します。
HKLM\SYSTEM\CurrentControlSet\
Control\SafeBoot
HKLM\SYSTEM\CurrentControlSet\
Services\ALG
感染活動
ワームは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ワームは、ネットワーク共有フォルダ内の以下のファイルタイプのファイルに感染し、ネットワークを介して感染活動をします。
- EXE
Webブラウザのホームページおよび検索ページの変更
ワームは、IEのゾーン設定を変更します。
その他
ワームは、以下の不正なWebサイトにアクセスします。
- http://ahmed2981982.{BLOCKED}e.com
- http://{BLOCKED}amui.com
- http://www.{BLOCKED}amui.com
- http://lyceumbv.{BLOCKED}z.cz
- http://e.{BLOCKED}z.cz
- http://{BLOCKED}lic.net
- http://{BLOCKED}p.net
- http://{BLOCKED}oe.net
- http://www.{BLOCKED}lcrossing.com
- http://towlie123.to.{BLOCKED}c.de
- http://www.{BLOCKED}l.de