WORM_BLAKCONT.W

ワームは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。 ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ワームは、すべてのリムーバブルドライブ内に自身のコピーを作成します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、ファイル、プロセスまたはレジストリ値を隠ぺいします。

侵入方法

ワームは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。

ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %System%\HPWuSchde.exe

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

ワームは、以下のファイルを作成します。

• %Windows%\areader.dll - data file

(註：%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

ワームは、以下のファイルを作成します。

• %System%\hp-24570.exe - also detected as WORM_BLAKCONT.W
• %System%\reader_sl.exe - also detected as WORM_BLAKCONT.W
• %User Profile%\Application Data\SystemProc\lsass.exe - also detected as WORM_BLAKCONT.W
• %Windows%\reader_sl.exe - also detected as WORM_BLAKCONT.W

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

ワームは、以下のコンポーネントファイルを作成します。

• %Program Files%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul - detected as JS_DURSG.H

(註：%Program Files%は、標準設定では "C:\Program Files" です。)

ワームは、以下のフォルダを作成します。

• %Program Files%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}
• %User Profile%\Application Data\SystemProc

(註：%Program Files%は、標準設定では "C:\Program Files" です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• HPWuSchde.exe{Random characters}

ワームは、以下の名前を用いて自身のコピーを作成します。

• [+ MrKey +] Windows XP PRO Corp SP3 valid-key generator.exe
• [antihack tool] Trojan Killer v2.9.4173.exe
• [Eni0j0 team] Vmvare keygen.exe
• [Eni0j0 team] Windows 7 Ultimate keygen.exe
• [fixed]RapidShare Killer AIO 2010.exe
• [patched, serial not need] Nero 9.x keygen.exe
• [patched, serial not needed] Absolute Video Converter 6.2-7.exe
• [patched, serial not needed] PDF to Word Converter 3.4.exe
• [patched, serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe
• Ad-aware 2010.exe
• Adobe Acrobat Reader keygen.exe
• Adobe Illustrator CS4 crack.exe
• Adobe Photoshop CS4 crack by M0N5KI Hack Group.exe
• Alcohol 120 v1.9.x.exe
• Anti-Porn v13.x.x.x.exe
• AnyDVD HD v.6.3.1.8 Beta incl crack.exe
• AOL Instant Messenger (AIM) Hacker.exe
• AOL Password Cracker.exe
• Ashampoo Snap 3.xx [Skarleot Group].exe
• Avast 4.x Professional.exe
• Avast 5.x Professional.exe
• BitDefender AntiVirus 2010 Keygen.exe
• Blaze DVD Player Pro v6.52.exe
• Brutus FTP Cracker.exe
• CleanMyPC Registry Cleaner v6.02.exe
• Counter-Strike Serial key generator [Miona patch].exe
• Daemon Tools Pro 4.8.exe
• DCOM Exploit archive.exe
• DivX 5.x Pro KeyGen generator.exe
• Divx Pro 7.x version Keymaker.exe
• Download Accelerator Plus v9.2.exe
• Download Boost 2.0.exe
• DVD Tools Nero 10.x.x.x.exe
• FTP Cracker.exe
• G-Force Platinum v3.7.6.exe
• Google SketchUp 7.1 Pro.exe
• Grand Theft Auto IV [Offline Activation + mouse patch].exe
• Half-Life 2 Downloader.exe
• Hotmail Cracker [Brute method].exe
• Hotmail Hacker [Brute method].exe
• ICQ Hacker Trial version [brute].exe
• Image Size Reducer Pro v1.0.1.exe
• Internet Download Manager V5.exe
• IP Nuker.exe
• K-Lite Mega Codec v5.2 Portable.exe
• K-Lite Mega Codec v5.2.exe
• Kaspersky AntiVirus 2010 crack.exe
• Kaspersky Internet Security 2010 keygen.exe
• Keylogger unique builder.exe
• L0pht 4.0 Windows Password Cracker.exe
• LimeWire Pro v4.18.3 [Cracked by AnalGin].exe
• Magic Video Converter 8.exe
• McAfee Total Protection 2010 [serial patch by AnalGin].exe
• Microsoft Visual Basic KeyGen.exe
• Microsoft Visual C++ KeyGen.exe
• Microsoft Visual Studio KeyGen.exe
• Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
• Motorola, nokia, ericsson mobil phone tools.exe
• Mp3 Splitter and Joiner Pro v3.48.exe
• MSN Password Cracker.exe
• Myspace theme collection.exe
• NetBIOS Cracker.exe
• NetBIOS Hacker.exe
• Norton Anti-Virus 2005 Enterprise Crack.exe
• Norton Anti-Virus 2010 Enterprise Crack.exe
• Norton Internet Security 2010 crack.exe
• Password Cracker.exe
• PDF password remover (works with all acrobat reader).exe
• Power ISO v4.4 + keygen milon.exe
• Rapidshare Auto Downloader 3.8.6.exe
• sdbot with NetBIOS Spread.exe
• Sophos antivirus updater bypass.exe
• Sub7 2.5.1 Private.exe
• Super Utilities Pro 2009 11.0.exe
• Total Commander7 license+keygen.exe
• Tuneup Ultilities 2010.exe
• Twitter FriendAdder 2.3.9.exe
• UT 2003 KeyGen.exe
• VmWare 7.x keygen.exe
• Website Hacker.exe
• Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe
• Windows 2008 Enterprise Server VMWare Virtual Machine.exe
• Windows Password Cracker + Elar3 key.exe
• Windows2008 keygen and activator.exe
• WinRAR v3.x keygen [by HiXem].exe
• Youtube Music Downloader 1.3.exe
• YouTubeGet 5.6.exe

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
Adobe Reader Speed Launcher = "%Windows%\reader_sl.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Adobe Reader Speed Launcher = "%Windows%\reader_sl.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
HP Software Updater II = "%System%\HPWuSchde.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\ {SID}
StubPath = "%Windows%\reader_sl.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
RTHDBPL = "%User Profile%\Application Data\SystemProc\lsass.exe"

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
HP91
(Default) =  

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion
||||||||||||||||||||||||||||||... = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
h8 = "{number}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
h9 = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
DeleteFlag = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
FailureActions = "hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00, 00,00,00,00,b8,0b,00,00,"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\\HPWuSchde.exe = "%System%\HPWuSchde.exe:*:Enabled:Explorer"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
DeleteFlag = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
FailureActions = "hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00, 00,00,00,00,b8,0b,00,00,"

ワームは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = "4"

(註：変更前の上記レジストリ値は、「"2"」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(註：変更前の上記レジストリ値は、「"2"」となります。)

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

• %Removable Drive%\RECYCLER

ワームは、ピアツーピア（P2P）ネットワーク上で使用される以下のフォルダ内に自身のコピーを作成します。

• %Program Files%\bearshare\shared\
• %Program Files%\edonkey2000\incoming\
• %Program Files%\emule\incoming\
• %Program Files%\grokster\my grokster\
• %Program Files%\icq\shared folder\
• %Program Files%\kazaa lite k++\my shared folder\
• %Program Files%\kazaa lite\my shared folder\
• %Program Files%\kazaa\my shared folder\
• %Program Files%\limewire\shared\
• %Program Files%\morpheus\my shared folder\
• %Program Files%\tesla\files\
• %Program Files%\winmx\shared\

(註：%Program Files%は、標準設定では "C:\Program Files" です。)

ワームは、すべてのリムーバブルドライブ内に自身のコピーを作成します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
open=RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
icon=%System Root%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
shell\open\default=1

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、以下の文字列を含むＥメールアドレスにはメッセージを送信しません。

• • .gov
  • abuse
  • acd-group
  • {BLOCKED}t.com
  • {BLOCKED}tems.com
  • acketst
  • admin
  • ahnlab
  • {BLOCKED}l-lucent.com
  • anyone
  • apache
  • arin
  • avg.comsysinternals
  • avira
  • badware
  • berkeley
  • bitdefender
  • {BLOCKED}n.ch
  • borlan
  • bpsoft com
  • bsd
  • {BLOCKED}r.com
  • cerific
  • certific
  • cisco
  • clamav
  • contact
  • debian
  • drweb
  • {BLOCKED}t.com
  • example
  • f-secure
  • fido
  • firefox
  • fsf.
  • {BLOCKED}r.com
  • gimp
  • gnu
  • gold-certs
  • gov.
  • honeynet
  • honeypot
  • iana
  • {BLOCKED}m.com
  • icrosoft
  • idefense
  • ietf
  • ikarus
  • {BLOCKED}tyinc.com
  • inpris
  • isc.o
  • isi.e
  • jgsoft
  • kaspersky
  • kernel
  • lavasoft
  • linux
  • listserv
  • mcafee
  • messagelabs
  • mit.e
  • mozilla
  • mydomai
  • nobody
  • nodomai
  • noone
  • nothing
  • novirusthanks
  • ntivi
  • {BLOCKED}ft.org
  • panda
  • pgp
  • postmaster
  • prevx
  • privacy
  • qualys
  • {BLOCKED}or.com
  • rating
  • redhat
  • rfc-ed
  • ruslis
  • sales
  • samba
  • samples
  • secur
  • security
  • sendmail
  • service
  • slashdot
  • somebody
  • someone
  • sopho
  • sourceforge
  • spam
  • spm
  • {BLOCKED}h.com
  • submit
  • {BLOCKED}n.com
  • support
  • suse
  • syman
  • tanford.e
  • the.bat
  • unix
  • usenet
  • utgers.ed
  • virus
  • virusbuster
  • webmaster
  • websense
  • winamp
  • winpcap
  • wireshark
  • www.{BLOCKED}m

ルートキット機能

ワームは、ファイル、プロセスまたはレジストリ値を隠ぺいします。

プロセスの終了

ワームは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

• Almon.exe
• ALSvc.exe
• APvxdwin.exe
• ashdisp.exe
• ashserv.exe
• avcenter.exe
• avciman.exe
• AVENGINE.exe
• avgcsrvx.exe
• avgemc.exe
• avgnt.exe
• avgrsx.exe
• avgtray.exe
• avguard.exe
• avgui.exe
• avgwdsvc.exe
• avp.exe
• bdagent.exe
• bdss.exe
• CCenter.exe
• drweb32w.exe
• drwebupw.exe
• egui.exe
• ekrn.exe
• emproxy.exe
• FPAVServer.exe
• FprotTray.exe
• FPWin.exe
• guardgui.exe
• HWAPI.exe
• iface.exe
• isafe.exe
• K7EmlPxy.exe
• K7RTScan.exe
• K7SysTry.exe
• K7TSecurity.exe
• K7TSMngr.exe
• livesrv.exe
• mcagent.exe
• mcmscsvc.exe
• McNASvc.exe
• mcods.exe
• mcpromgr.exe
• McProxy.exe
• Mcshield.exe
• mcsysmon.exe
• mcvsshld.exe
• MpfSrv.exe
• mps.exe
• mskagent.exe
• msksrver.exe
• NTRtScan.exe
• Pavbckpt.exe
• PavFnSvr.exe
• PavPrSrv.exe
• PAVSRV51.exe
• pccnt.exe
• PSCtrlS.exe
• PShost.exe
• PsIMSVC.exe
• psksvc.exe
• Rav.exe
• RavMon.exe
• RavmonD.exe
• RavStub.exe
• RavTask.exe
• RedirSvc.exe
• SavAdminService.exe
• SavMain.exe
• SavService.exe
• sbamtray.exe
• sbamui.exe
• seccenter.exe
• spidergui.exe
• SrvLoad.exe
• TmListen.exe
• TPSRV.exe
• vetmsg.exe
• vsserv.exe
• Webproxy.exe
• xcommsvr.exe

その他

このワームのコードから、ワームは、以下の機能を備えています。

• Attempts to determine the SMTP Simple Mail Transfer Protocol (SMTP) server of the affected system by using the gathered domain name and the following prefixes:
  
  • mx.
  • mail.
  • smtp.
  • mx1.
  • mxs.
  • mail1.
  • relay.
  • ns.
  • gate.
• Checks the location of the Windows Address Book by querying the following registry key:
  

  HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name

• Searches for email addresses in the following folder:
  
  • %User Profile%\Local Settings\Temporary Internet Files
• Harvests email addresses from files with the following extensions:
  
  • .txt
  • .htm
  • .xml
  • .php
  • .asp
  • .dbx
  • .log
  • .nfo
  • .lst
  • .rtf
  • .xml
  • .wpd
  • .wps
  • .xls
  • .doc
  • .wab
• Uses its own Simple Mail Transfer Protocol (SMTP) engine to send email messages with a copy of itself as attachment. The email messages it sends out bear the following details:
  

  From:
  e-cards@hallmark.com
  invitations@twitter.com
  invitations@hi5.com
  order-update@amazon.com
  resume-thanks@google.com
  update@facebookmail.com
  
  Subject:
  You have received A Hallmark E-Card!
  Your friend invited you to Twitter!
  Laura would like to be your friend on hi5!
  Shipping update for your Amazon.com order.
  Thank you from Google!
  You have got a new message on Facebook!

ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• http://{BLOCKED}myip.com/automation/n09230945.asp