![Trend Micro Security](https://www.trendmicro.com/content/dam/trendmicro/global/en/global/logo/logo-desktop.png)
WORM_VERECNO.A
W32.Harakit (Symantec), Win32/Autoit.JW worm (ESET), Worm:Win32/Verecno.A (Microsoft)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
![](/vinfo/imgFiles/JPlegend.jpg)
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
ワームは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System Root%\Google\googleupdate.a3x
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
ワームは、以下のフォルダを作成します。
- %System Root%\Skypee
- %System Root%\Google
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
googleupdate.exe = "%System Root%\Google\googleupdate.vbs"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
googleupdate.exe = %System Root%\googleupdate.vbs
ワームは、Windows起動時に自動実行されるよう<スタートアップ>フォルダ内に以下のファイルを作成します。
- %All Users Profile%\Start Menu\Programs\Startup\googleupdate.lnk
その他
ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- http://www.{BLOCKED}ugin.net/json.gp
ワームは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}ou.zapto.org
ワームが自身の不正活動を実行するためには、以下のコンポーネントが必要になります。
- AutoIt3.exe
- {parent folder name}.lnk
- googleupdate.vbs