WORM_UTOTI.KDR
Windows 2000, XP, Server 2003
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ワームは、他のマルウェアに作成され、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。
ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ワームは、ランダムにポートを開き、不正リモートユーザが感染コンピュータに接続できるようにします。接続されると、不正リモートユーザは、感染コンピュータ上でのコマンド実行が可能となります。
ワームは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
ワームは、他のマルウェアに作成され、コンピュータに侵入します。
ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\csrcs.exe
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
csrcs = "%System%\csrcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
csrcs = "%System%\csrcs.exe"
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe csrcs.exe
(註:変更前の上記レジストリ値は、「Explorer.exe」となります。)
他のシステム変更
ワームは、インストールの過程で以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
ilop = 1
ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 2
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = 0
(註:変更前の上記レジストリ値は、「1」となります。)
感染活動
ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[Autorun]
action=view files
open={malware filename}.exe
shell\open\Command={malware filename}.exe
shell\open\Default=1
Icon=%system%\shell32.dll,7
UseAutoPLay=1
バックドア活動
ワームは、ランダムにポートを開き、不正リモートユーザが感染コンピュータ上にアクセスするのを可能にします。接続されると、不正リモートユーザは、感染コンピュータ上でコマンドを実行します。
その他
このワームのコードから、ワームは、以下の機能を備えています。
- Ths malware drops copies to shared folders used by the following P2P applications: FrostWir, eMule, Kazaa, LimeWire, and Shareaza DC++ Ares
- The dropped copies in shared folders are compressed using the following compression: zip and rar
- It also drops copies in shared folders used by torrents: Adobe Photoshop CS4 Extended Nero 9 Reloaded 9.4.26.0 Microsoft Office Enterprise 2007 Microsoft Windows 7 Ultimate Retail(Final) x86 and x64 WinRAR v3.90 Final WinRAR v4.0 Final WinRAR v5.0 Final LimeWire PRO v5.4.6.1 Final WinZip PRO v14.1 WinZip PRO v15.1 WinZip PRO v16.1 Metro 2033 Proper Battlefield Bad Company 2 Just Cause 2 Assassins Creed 2 Mass_Effect_2 The Sims 3 Final BioShock_2 TuneUp.Utilities.2010.v9.0.3100.22-TE Sony Vegas Pro 9.0c Build 896 [32.64 bit] Command & Conquer 4 Tiberian Twilight Retail Counter-Strike 1.6 v.38 Batman.Arkham.Asylum Pro.Evolution.Soccer.2010 Call of Duty 4 Modern Warfare Call of duty 5 World At War Fallout.3.Game.of.the.Year.Edition Diablo 2 + Diablo 2: Lord Of Destruction Grand Theft Auto Vice City Warhammer 40000 Dawn Of War II Chaos Rising Adobe Flash CS4 Professional Pinnacle Studio 14 HD Ultimate Autodesk AutoCAD 2010 Partition Magic 8 ConvertXtoDVD v4.x Mathworks.Matlab.R2010a Alcohol 120 v2.x Adobe Illustrator CS4 DAEMON Tools Pro Advanced 4.x Rosetta.Stone.V.3.3.5.Plus Aliens Vs Predator Proper Dragon Age Origins Need.For.Speed.Shift This worm connects to the following sites to get the IP and geographical location of the infected system: www.whatismyip.com/automation/n09230945.asp http://geoloc.daiguo.com/?self
- This malware gathers the following information: User Name Computer Name OS Version OS Service Pack Home Drive Drive Serial OS Language System Directory
ワームは、以下のWebサイトにアクセスし、情報を送受信します。
- {BLOCKED}e.extasix.com
- www.{BLOCKED}c0.com
- {BLOCKED}y.myhome.cx
- www.{BLOCKED}c0.com.cn