WORM_DORKBOT.IF

トレンドマイクロは、このワームをNoteworthy（要注意）に分類しました。

ワームは、ユーザのオンライン認証やアカウントを侵害する可能性がある情報を収集をします。また、ワームは、Skypeのメッセージを利用して、「身代金要求型マルウェア（ランサムウェア）」や情報収集型マルウェア、自身のコピーの更新版を含むさまざまな脅威を拡散します。これにより、さらなるマルウェアへの感染が、ユーザ自身および他のユーザへもたらされることとなります。

ワームは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

侵入方法

ワームは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

• WORM_DORKBOT.DN

ワームは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

• http://{BLOCKED}e.com/dl/175341483/21ee863/h3480f.html

その他

ワームが実行されると、以下のプロセスがコンピュータ上で実行している場合、これらのプロセスを検索します。

• msnmsgr.exe
• msmsgs.exe
• skype.exe

ワームは、ユーザの連絡先へメッセージを送信するコンポーネントとして利用されます。メッセージは、他のマルウェアのコピーをダウンロードする短縮URLを含んでいます。

• http://＜省略＞o.＜省略＞l/＜生成されたコード＞?＜変数＞=＜コンタクト名＞

「＜変数＞」は、以下のいずれかとなります。

• img
• profile

「＜コンタクト名＞」は、メッセージ受信者の名前です。

この短縮URLがクリックされると、以下のURLへ誘導します。

• http://＜省略＞e.com/dl/175339084/d951071/skype_08102012_image.zip.html

Skype経由で送信されるメッセージは以下のとおりです。

• ＜メッセージ＞ http://goo.gl＜ランダム＞?img=＜コンタクト名＞
• ＜メッセージ＞ http://goo.gl＜ランダム＞?profile=＜コンタクト名＞

「＜メッセージ＞」は、その地域に応じて、以下のいずれかのメッセージが入ります。

lol is this your new profile pic
hej to jest twój nowy obraz profil?
eínai aftí i néa fotografía profíl sas?
это новый аватар вашего профиля?))
سؤال هي صورتك ؟
moin, kaum zu glauben was für schöne fotos von dir auf deinem profil
hej er det din nye profil billede?
hej je to vasa nova slika profila
hey is dit je nieuwe profielfoto?
hei zhè shì ni de gèrén ziliào zhàopiàn ma?
tung, cka paske lyp ti nket fotografi?
hey c'est votre nouvelle photo de profil?
hey é essa sua foto de perfil? rsrsrsrsrsrsrs
¿hey esta es tu nueva foto de perfil?
ni phaph porfil khxng khun?
hej detta är din nya profilbild?
hey è la tua immagine del profilo nuovo?