WORM_IRCBOT.WKJ

ワームは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

侵入方法

ワームは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

インストール

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• 0ze2thz285hezj1hG42

バックドア活動

ワームは、以下のいずれかのIRCサーバに接続します。

• {BLOCKED}n.{BLOCKED}eople.net

ワームは、以下のいずれかのIRCチャンネルに接続します。

• #.porno

ワームは、リモートでInternet Relay Chat （IRC）サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

• Initiate MSN propagation
• Steal Passwords
• Renew IRC server connection
• Download and Execute Arbitrary files

その他

ワームが自身の不正活動を実行するためには、以下のファイルが必要になります。

• %System%\printers.exe

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

ワームは、自身のIRCサーバにアクセスする際に以下の認証情報を利用します。

• NICK new[{Country}][{random numbers}H]{random letters} - for newly infected systems
• NICK [][{random number}H]{random letters} - for already infected systems
• USER lol lol lol :kikio

ワームは、主要なコンポーネントである「%System%\printers.exe」をWindowsフォルダにコピーし、以下のファイル名を用いてMSN Messenger経由で拡散します。

• images0{ランダムな数字}.zip
• photos0{ランダムな数字}.zip
• album{ランダムな数字}.zip
• photo{ランダムな数字}.zip
• pictures0{ランダムな数字}.zip
• picture{ランダムな数字}.zip

ZIPファイルには、以下のファイル名が含まれています。

• {使用されたファイル名}.scr

MSN Messenger経由で拡散する際に使用されるメッセージとして、以下の文字列が使用されます。

• Look how wasted Paris Hilton is, after she got jailed :(
• You and Me !!! .... look :p
• Look at my photos hihi :p
• Hey please accept my photos :o !!
• A photo with me and my best friend :$ !!
• This is me totaly naked :o please dont send to anyone else
• Look what i found on the NET :o Jessica Alba NUDE !!
• bak sana Paris Hilton ne hale gelmis hapiste :(
• Sen ve Ben !!! .... BAK :p
• Baksana benim fotograflara hihi :p
• Hey benim fotolarimi kabul et :o !!
• Iyi arkadasimla fotorafdayim :$ !!
• benim bu ciplak fotoda :o ama baskasina yollama
• bak ne buldum :o Jessica alba ciplak !!
• Regarde comment Paris Hilton parait efondrs qu'elle ai jeter en prison :(
• Toi et moi !!! .... regarde :p
• Regarde mes photos :p
• Hey s'il te plait accepte mes photos :o !!
• Une photo de moi et mon meilleur ami :$ !!
• C'est moi totalement nu :o s'il te plait ne l'envoie a personne d'autre
• Regarde ce que j'ai trouvsur le net :o Jessica Alba NU !!
• Kijk hoe erg Paris Hilton er aan toe is na gevangenschap :(
• Jij en Ik !!!! .... kijk :p
• Kijk eens naar mijn fotos hihi :p
• HEY !! accepteer mn fotos dan !
• met mijn beste vriend op de foto !! :$
• Dit ben ik naakt op de foto, stuur alsjeblieft niet door.
• Kijk wat ik gevonden heb :o Jessica Alba naakt !!
• guck wie scheisse Paris Hilton aussieht, seitdem sie wieder aus dem knast ist :(
• du und ich !!! ....guck :p
• siehe meine fotos hihi :p
• hey bitte nimm meine fotos an :o !!
• ein foto mit meinem besten freund und mir :$ !!
• das bin ich total nackt :o bitte sende es niemand anderem
• guck was ich im internet gefunden habe :o jessica Alba NACKT !!
• Guarda come Paris Hilton sprecato , dopo che era imprijonata :(
• Tu ed io !!! .... guarda :p
• Guardi le mie foto hihi :p
• Mairee photos accept karo :o !!
• Una foto con me ed il mio amico migliore :$ !!
• Questa e me totaly nudo :o prego non trasmette a chiunque
• Osservi che cosa ho trovato sul internet :o Jessica alba NUDA !!
• Veja como Paris Hilton estacabada depois de ter sido presa :(
• e eu !!!! .... Veja :p
• Veja as minhas fotos hehehe :p
• Por favor aceite as minhas fotos :o !!
• Uma foto com o meu melhor amigo e eu :$ !!
• Esta sou eu totalmente nua :o por favor no mande isso pra ningu
• Olha o que eu achei na NET :o Jessica Alba NUA !!
• kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :(
• NI HE WO !!! .... QING KAN :p
• KAN WO DE ZHAOPIAN :p
• JIESHOU WO DE ZHAO PIAN :o !!
• YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
• KAN WO DE ZHAOPIAN :p
• ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!
• Kolla hur frd Paris Hilton r, efter att hon fngslades :(
• Du och jag !! .... Kolla ;)
• Kolla pmin bilder, hihi :p
• Hey, acceptera mina bilder, snlla :o
• En bild pmig och min bsta vn :$ !!!
• Detta r jag HELT naken.. :o Skicka inte till ngon annan, snlla...
• Kolla vad jag hittade ptet :o Jessica Alba NAKEN !!
• Mira cmo Paris Hilton es perdida despus de ser encarcelada :(
• Usted e yo !!! .... Mira :p
• Mira mis fotos jejeje :p
• Ha aceptado mis fotos por favor :o !!
• Una foto con mi mejor amigo e yo :$ !!
• Esta soy yo totalmente desnuda :o por favor no enva para nadie
• Mira lo que encontren la WEB :o Jessica Alba DESNUDA !!
• Lede hvor spild Paris Hilton er efter hun fik fngsel :(
• Jer og Mig !!! ... se :p
• min fotos :p
• Hej behage optage min foto :o !!
• EN foto hos mig og min bedst ven :$ !!
• denne er mig hele bar behage vage vendlig og sende den ikk til nogle :o
• Lede hvad jeg fandt oven pden net :o Jessica Alba bar !!

影響を受けるコンピュータの位置情報に応じて、異なる言語が使用されます。

<補足>
バックドア活動

ワームは、リモートでInternet Relay Chat （IRC）サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

• MSN Messenger経由での感染（拡散）活動の実行
• パスワードの窃取
• IRCサーバ接続の更新
• 任意のファイルのダウンロードおよび実行

その他

ワームは、自身のIRCサーバにアクセスする際に以下の認証情報を利用します。

• NICK new[{国}][{ランダムな数字}H]{ランダムな文字列} - 新たに感染したコンピュータに用いる
• NICK [][{ランダムな数字}H]{ランダムな文字列} - すでに感染したコンピュータに用いる
• USER lol lol lol :kikio