Worm.Win32.DOWNAD.PICR

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

ワームは、レジストリ値を変更し、複数のシステムサービスを無効にします。これにより、システムに必要な機能が起動しません。

ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。 ワームは、ネットワークドライブ内に自身のコピーを作成します。 ワームは、ソフトウェアに存在する脆弱性を利用して、同じネットワーク上にある他のコンピュータへの感染活動をします。

ワームは、バックドア活動の機能を備えていません。

ワームは、特定のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。 上記の脆弱性が利用されると、ワームは、特定の不正活動を実行します。 ワームは、特定の文字列を含むセキュリティ対策関連Webサイトが閲覧できないようにします。

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\{random file name}.dll
• %System%\{random file name}.dll
• %System%\{random number}.tmp
• %Program Files%\Internet Explorer\{random file name}.dll
• %Program Files%\Movie Maker\{random file name}.dll
• %User Temp%\{random file name}.dll

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ワームは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• {random characters}
• Global\{random characters based on the computer name}-7

自動実行方法

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}
ImagePath = "%System Root%\system32\svchost.exe -k"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}\Parameters
ServiceDll = "%System%\{malware file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost\
{random characters}

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "rundll32.exe {malware path and file name}, Parameter"

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Applets
dl = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Applets
ds = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Applets
dl = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Applets
ds = "0"

ワームは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
TcpNumConnections = "00FFFFFE"

(註：変更前の上記レジストリ値は、「user-defined」となります。)

ワームは、レジストリ値を変更し、以下のシステムサービスを無効化します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "4"

(註：変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

(註：変更前の上記レジストリ値は、「2」となります。)

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

• {drive letter}:\Recycler\{SID}

ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• {drive letter}:\Recycler\{SID}\{random characters}

ワームは、ネットワークドライブ内に自身のコピーを作成します。

ワームは、既存の "AUTORUN.INF" に以下の文字列を追加して、このINFファイルの内容を変更します。これにより、作成した自身のコピーが自動実行されます。

• {drive letter}:\AUTORUN.INF
  • ;{garbage characters}
  • [AUTorun
  • ;{garbage characters}
  • AcTION = Open folder to view files
  • ;{garbage characters}
  • icon = %syStEmrOot%\sySTEM32\sHELL32.Dll ,4
  • ;{garbage characters}
  • shelLExECUte = RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
  • ;{garbage characters}
  • useAuTopLAY=1

ワームは、以下のソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。

• Microsoft Security Bulletin MS08-067

バックドア活動

ワームは、バックドア活動の機能を備えていません。

その他

ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• http://www.{BLOCKED}p.org
• http://www.{BLOCKED}yipaddress.com
• http://www.{BLOCKED}myip.org
• http://checkip.{BLOCKED}s.org

ワームは、以下のタイムサーバにアクセスし、現在の日付を確認します。

• myspace.com
• msn.com
• ebay.com
• cnn.com
• aol.com
• w3.org
• ask.com
• yahoo.com
• google.com
• baidu.com

ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

上記の脆弱性が利用されると、ワームは、以下の不正活動を実行します。

• The affected system then opens a random TCP port, allowing the vulnerable machine to connect to itself using the following URL:
  • http://{IP address of the affected machine}:{random port generated by this worm}/{malware file name composed of random characters}
• Propagating over the Internet by attempting to send the exploit code to random Internet addresses. It first broadcasts the opened random port that serves as an HTTP server so that it is accessible over the Internet. Then, it gets the external IP address of the system to check if it has a direct connection to the Internet. Once a direct connection is made, it launches the exploit code over the Internet by checking the external IP address and the configured IP address in the ethernet or modem driver.

ワームは、以下を実行します。

• Patches TCPIP.SYS in memory in order to modify the limit of maximum TCP half-connection attempts in systems running Windows XP Service Pack 2. It does this by loading TCPIP.SYS in a certain memory location. It then drops %System%\0{random number}.tmp, which is responsible for creating a device object named TcpIp_Perf and linking it to the loaded TCPIP.SYS in memory. It then sends the control code (patch code) to the linked device object.
• Checks if the command line includes the string RUNDLL32.EXE. If it does, this worm assumes it is running as a scheduled task. It then injects itself to the legitimate processes SVCHOST.EXE and EXPLORER.EXE.
• Exports functions used by other malware. It sets the creation time of the file similar to that of the creation time indicated in the legitimate Windows file KERNEL32.DLL, which is also located in the Windows system folder. It does this to prevent early detection as a newly added file on the affected system.
• Checks the operating system version of the affected system. If the worm is running on a Windows 2000 machine, it injects itself to SERVICES.EXE.
• Executes the following commands to disable auto-tuning if the system is running under Windows Vista:
  • netsh interface tcp set global autotuning=disabled
• Injects itself to the process SVCHOST.EXE to hook NetpwPathCanonicalize and avoid reinfection of an affected system.
• Generates strings and appends the following extensions to create URLs based on the current date:
  • .biz
  • .info
  • .org
  • .net
  • .com
• Generates a set of URLs containing 250 random sites per day based on the UTC time standard.
• Checks if any of the generated URLs is active and creates a thread to download and execute files. This routine also converts the host name to an IP address to complete the following URL:
  • http://{IP address}/search?q=0
• The NetpwPathCanonicalize_hook in NETAPI32.DLL has a function which checks for a generated URL in the RPC traffic. If the URL is active, it will attempt to download the hosted file.
• Creates a named pipe with the following format:
  • \.\pipe\System_{random number}
  • It then connects to the pipe to read data. The data obtained from the pipe is be passed to the call_create_thread_download function, which is responsible for downloading, validating, and executing the downloaded file.
• Hooks the following APIs to filter a list of antivirus-related sites when being accessed on the Internet:
  • DnsQuery_A
  • DnsQuery_W
  • DnsQuery_UTF8
  • Query_Main

ワームは、以下の文字列を含むセキュリティ対策関連Webサイトが閲覧できないようにします。

• Ccert.
• sans.
• bit9.
• vet.
• avg.
• avp.
• nai.
• windowsupdate
• wilderssecurity
• threatexpert
• castlecops
• spamhaus
• cpsecure
• arcabit
• emsisoft
• sunbelt
• securecomputing
• rising
• prevx
• pctools
• norman
• k7computing
• ikarus
• hauri
• hacksoft
• gdata
• fortinet
• ewido
• clamav
• comodo
• quickheal
• avira
• avast
• esafe
• ahnlab
• centralcommand
• drweb
• grisoft
• eset
• nod32
• f-prot
• jotti
• kaspersky
• f-secure
• computerassociates
• networkassociates
• etrust
• panda
• sophos
• trendmicro
• mcafee
• norton
• symantec
• microsoft
• defender
• rootkit
• malware
• spyware
• virus