WORM_WCRY.H
Trojan-Ransom.Win32.Wanna.y (Kaspersky)
Windows
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ワームは、ネットワーク共有フォルダを経由してコンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のファイルを作成し実行します。
- %Windows%\lsasvs.exe <- detected as TROJ_WCRY.H, installs and executes the Tor client (lsass.bin) and encryptor module (taskhcst.exe)
自動実行方法
ワームは、以下のサービスを追加し、実行します。
- ServiceName: shcservice
DisplayName: Windows SHC Service.
ImagePath: cmd.exe /c “net share C$=C:\”. <- This makes the C drive of the remote machine shared - ServiceName: WUpdator
DisplayName: Windows Updator
ImagePath: C:\Windows\svchost.exe -> This will execute its copy in the remote machine
感染活動
ワームは、以下のファイル名を用いて、ネットワーク共有フォルダ内に自身のコピーを作成します。
- %Windows%\svchost.exe
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
ワームは、以下のユーザ名およびパスワードを用いて、パスワード保護された共有フォルダにアクセスします。
- administrador
- admin
- Administrator
- abcd
- cowboy
- sparky
- asdfgh
- secret
- bigdog
- yellow
- diamond
- richard
- patrick
- chelsea
- martin
- cheese
- golfer
- matthew
- merlin
- austin
- fucker
- taylor
- corvette
- summer
- hammer
- heather
- ginger
- nicole
- thunder
- sexy
- computer
- freedom
- biteme
- orange
- amanda
- hello
- ashley
- yankees
- dallas
- william
- silver
- maggie
- joshua
- access
- daniel
- pepper
- asshole
- jessica
- sunshine
- love
- michelle
- andrew
- charlie
- george
- hockey
- killer
- batman
- fuck
- soccer
- robert
- tigger
- thomas
- buster
- ranger
- trustno1
- fuckyou
- hunter
- fuckme
- harley
- jordan
- jennifer
- shadow
- michael
- mustang
- welkome
- bumble
- pussy
- monkey
- root
- angel
- solo
- asdfg
- asdf
- qwer
- starwars
- qwertyuiop
- princess
- baseball
- football
- letmein
- superman
- login
- test
- pass
- passwd
- master
- dragon
- abc123
- server
- 1qaz2wsx
- welcome
- qwerty
- passw0rd
- password
- p@ssw0rd
- !@#$%^&*()
- !@#$%^&*(
- !@#$%^&*
- !@#$%^&
- !@#$%^
- !@#$%
- !@#$
- abcd1234
- 123456!
- 12345!
- 1234!@#$
- 1q2w3e4r!
- 1q2w3e4!
- 1q2w3e!
- 1q2w3e4r
- 1q2w3e4
- 1q2w3e
- 121212
- 666666
- 6969
- 696969
- 123123
- 654321
- 4321
- 54321
- 1111
- 111111
- 1234567890
- 1234567
- 1234
- 123456789
- 12345
- 12345678
- 123456
作成活動
ワームは、以下のファイルを作成します。
- %Windows%\lsass.bin <- contains the Tor Client and its components
- %Windows%\fff <- dropped as system file with 0 bytes
- %Windows%\taskhcst.exe <- main encryptor module, detected as Ransom_WCRY.H
ワームは、「TROJ_WCRY.H」として検出される以下のファイルを作成します。このファイルは、匿名通信システム「Tor」のクライアントである "lsass.bin" ファイルと、暗号化モジュール "taskhcst.exe" をインストールして実行します。
- %Windows%\lsasvs.exe
ワームは、以下のサービスを追加し、実行します。
- ServiceName: shcservice
DisplayName: Windows SHC Service.
ImagePath: cmd.exe /c “net share C$=C:\”.
※これにより遠隔のコンピュータのCドライブを共有ドライブにします。 - ServiceName: WUpdator
DisplayName: Windows Updator
ImagePath: C:\Windows\svchost.exe
※これにより遠隔のコンピュータに作成した自身のコピーを実行します。
ワームは、以下のファイルを作成します。
- %Windows%\lsass.bin
※「Tor」のクライアントおよびそのコンポーネントが含まれる - %Windows%\fff
※0バイトのシステムファイルとして作成される - %Windows%\taskhcst.exe
※メインとなる暗号化モジュール。「Ransom_WCRY.H」として検出される
ワームは、以下を実行します。
- ワームは、開放されているポート445を検索するために以下を実行します。
- ランダムに生成したIPアドレスによりインターネット上およびローカルエリアネットワーク(LAN)をスキャンする
- ワームは、LANあるいはインターネット上に開いているポート445を持つコンピュータを見つけると、パスワードリスト攻撃によりIPC$共有ネットワークへアクセスを試みます。接続に成功すると、コンピュータのCドライブを共有するためのサービスを作成し、自身のコピーを作成し実行します。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
このマルウェアのサービスを無効にします。
- shcserviceWUpdator
手順 4
Windowsをセーフモードで再起動します。
手順 5
この「WORM_WCRY.H」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)
- TROJ_WCRY.H
手順 6
以下のファイルを検索し削除します。
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_WCRY.H」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください