WORM_OTORUN

これは、複数の「WORM_OTORUN」の亜種を解析した結果に基づいた説明です。ファイル名およびレジストリ値といった具体的な情報は、亜種によって異なります。

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

• %User Temp%\E_N4\eAPI.fne
• %User Temp%\E_N4\eImgConverter.fne
• %User Temp%\E_N4\krnln.fnr
• %User Temp%\E_N4\PBShell.fne
• %User Temp%\E_N4\shell.fne
• %System Root%\OGa\RD\DesKTop.ini
• %User Temp%\srv{random}.ini
• %User Temp%\rstimgr.inf

(註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。. %System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System%\smsc.exe
• %System%\svchoct.exe
• %User Temp%\srv{3 random hexadecimal digits}.tmp
• %System Root%\OGa\RD\GOx.exe
• %Windows%\dllmgr.exe
• %Application Data%\Microsoft\IME\V2005\PHIME2002A.exe
• %User Temp%\srv{random}.tmp
• {Shared Folder}\setup50045.fon

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。. %System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。. %Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

ワームは、以下のフォルダを作成します。

• %User Temp%\E_N4
• %System Root%\OGa
• %System Root%\OGa\RD
• %System Root%\RECYCLER\{SID}

(註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。. %System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• spoolsv.exe
• explorer.exe

自動実行方法

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\PrtSmanm
ImagePath = "{malware path and file name}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srv{random hexadecimal number}
ImagePath = "{malware path and file name}"

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{malware-defined name} = "{malware-defined entry name}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srv{random}\parameters
{malware-defined name} = "{malware path and file name}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware-defined name} = "{malware path and file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{malware-defined name} = {malware path and file name}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random CLSID}
StubPath = "{malware path and file name}"

ワームは、以下のレジストリキーを追加し、セーフモード状態でも自身が実行されるようにします。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
srv{random hexadecimal number}

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Shell Extensions
{malware-defined name} = "{malware-defined entry name}"

ワームは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(註：変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

(註：変更前の上記レジストリ値は、「2」となります。)

ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
{malware-defined name} = "{malware-defined entry name}"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

• RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321
• OGa
• {Removable drive} letter:\{random characters}

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• {drive}:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe
• {space}.exe
• setup1911.fon
• {Removable drive letter}:\{random characters}\{random characters}.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

その他

ワームは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}.{BLOCKED}.89.121/X
• http://{BLOCKED}.{BLOCKED}.89.121/exe
• http://{BLOCKED}.{BLOCKED}.48.173
• http://{BLOCKED}.{BLOCKED}.193.21
• http://{BLOCKED}.{BLOCKED}.88.10
• http://{base url}/bin/read_a.php?a1={some encrypted data}

ワームの亜種には、バックドア機能を備えているものもあります。これらの亜種は、特定のIRCサーバに接続し、通信および不正リモートユーザからのコマンドの受信を行います。

他の亜種は、ネットワークドライブまたはソフトウェアの脆弱性を利用し、ネットワークを介して感染を拡げます。

これは、複数の「WORM_OTORUN」の亜種を解析した結果に基づいた説明です。ファイル名およびレジストリ値といった具体的な情報は、亜種によって異なります。