WORM_DOWNAD.ANM

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、特定のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。

• %System%\{Random Filename}.dll

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自動実行方法

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
DisplayName = "Manager Support"

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
Type = "32"

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
Start = "2"

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
ErrorControl = "0"

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
ImagePath = "%SystemRoot%\system32\svchost.exe -k netsvcs"

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
ObjectName = "LocalSystem"

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
Description = "Monitors system security settings and configurations."

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}\Parameters
ServiceDll = "%System%\{Random Filename}.dll"

他のシステム変更

ワームは、以下のレジストリキーを変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "4"

(註：変更前の上記レジストリ値は、「"3"」となります。)

ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

(註：変更前の上記レジストリ値は、「"User Default"」となります。)

ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
3739:TCP = "3739:TCP:*:Enabled:mdqkva"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

• {Drive Letter}:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• {Drive Letter}:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\{Random Filename}.{Random Extension}

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

{Garbage Character}
[{Garbage Character}AUTorUN
{Garbage Character}
AcTION
{Garbage Character}
Open folder to view files
{Garbage Character}
%syStEmrOot%\sySTEM32\sHELL32.Dll
{Garbage Character}
shelLExECUte
{Garbage Character}
=RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\{Random Filename}.{Random Extension},{Random Value}
{Garbage Character}
useAuTopLAY{Garbage Character}={Garbage Character}1
{Garbage Character}

その他

ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• http://www.whatsmyipaddress.com
• http://www.whatismyip.org
• http://www.getmyip.org
• http://checkip.dyndns.org

ワームは、以下の不正なWebサイトにアクセスします。

• http://{Resolve IP Address}/search?q={Number}

ワームは、以下のタイムサーバにアクセスし、現在の日付を確認します。

• w3.org

ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "0"

(註：変更前の上記レジストリ値は、「"1"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "0"

(註：変更前の上記レジストリ値は、「"1"」となります。)

ワームは、以下のWebサイトにDNSリクエストを実行します。

• {Pseudorandom Characters}.ws
• {Pseudorandom Characters}.info
• {Pseudorandom Characters}.cn
• {Pseudorandom Characters}.cc
• {Pseudorandom Characters}.com
• {Pseudorandom Characters}.org
• {Pseudorandom Characters}.biz
• {Pseudorandom Characters}.net