WORM_ZEROLL.AY
Win32/VBInject.gen!GN (Microsoft), Backdoor.Win32.LolBot.buxz (Kaspersky), Win32/Injector.GSH (ESET)
Windows
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\HEX-5823-6393-6818\jusched.exe
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Java Update Manager = “%Application Data%\HEX-5823-6393-6818\jusched.exe”
他のシステム変更
ワームは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\System\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Application Data%\HEX-5823-6393-6818\jusched.exe = “%Application Data%\HEX-5823-6393-6818\jusched.exe:*: Enabled:Jave Update Manager”
感染活動
ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- {removable drive letter}:\8585485
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {removable drive letter}:\8585485\{folder name}.exe
作成活動
ワームは、以下のファイルを作成します。
- %System%\winrtsnr.txt
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
その他
ワームは、以下の不正なWebサイトにアクセスします。
- http://updates.{BLOCKED}ks.co.in