解析者: Sabrina Lei Sioting   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

  詳細

ファイルサイズ 不定
タイプ EXE
メモリ常駐 はい
発見日 2011年8月3日

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System Root%\RECYCLER\S-1-5-21-1027092746-4151678385-811904757-8524\MsMxEng.exe

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、以下のファイルを作成します。

  • %System Root%\RECYCLER\S-1-5-21-1027092746-4151678385-811904757-8524\Desktop.ini

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、以下のフォルダを作成します。

  • %System Root%\RECYCLER\S-1-5-21-1027092746-4151678385-811904757-8524

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%System Root%\RECYCLER\S-1-5-21-1027092746-4151678385-811904757-8524\MsMxEng.exe"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • USBSEC

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • USBSEC\gtk.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

{garbage}
[autorun
;{garbage}
open=USBSEC/gtk.exe
;{garbage}
icon=%SystemRoot%\system32\SHELL32.dll,4
;{garbage}
action=Open folder to view files using Windows Explorer
;{garbage}
shell\open\\command=USBSEC/gtk.exe
;{garbage}
shell\\explore\command=USBSEC/gtk.exe
;{garbage}
useautoplay=1
;{garbage}