WORM_SDBOT.JBR

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、ピアツーピア（P2P）の共有フォルダを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、P2Pの共有フォルダを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Windows%\winsupdt.exe

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

ワームは、以下の無害なファイルを作成します。

• {removable drive letter except A and B}:\driver\usb\Desktop.ini

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• 4y6t8mUt1l

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
wins = "winsupdt.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Terminal Server\
Install\Software\Microsoft\
Windows\CurrentVersion\Run
wins = "winsupdt.exe"

他のシステム変更

ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and name} = "{malware path and name}:*:Enabled:wins"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

• {removable drive letter except A and B}:\driver
• {removable drive letter except A and B}:\driver\usb

ワームは、ピアツーピア（P2P）ネットワーク上で使用される以下のフォルダ内に自身のコピーを作成します。

• bearshare\shared\
• edonkey2000\incoming\
• emule\incoming\
• grokster\my grokster\
• icq\shared folder\
• kazaa lite k++\my shared folder\
• kazaa lite\my shared folder\
• kazaa\my shared folder\
• limewire\shared\
• morpheus\my shared folder\
• tesla\files\
• winmx\shared\

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• {removable drive letter except A and B}:\driver\usb\ûÉü+çæèòåæ-ÇîÄ

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
open=driver\usb\ûÉü+çæèòåæ-ÇîÄ
action=Open
shell\open=Open
shell\open\command=driver\usb\ûÉü+çæèòåæ-ÇîÄ
Usb_Driver installed

ワームは、以下のインスタントメッセンジャ（IM）を用いて標的とする受信者に自身のコピーを送信します。

• AIM
• MSN
• Triton

バックドア活動

ワームは、以下のいずれかのIRCサーバに接続します。

• {BLOCKED}.{BLOCKED}.244.154

ワームは、不正リモートユーザからの以下のコマンドを実行します。

• create process and threads
• download and execute arbitrary files
• perform DDOS attack (SYN flood)
• update self
• terminate self

ただし、情報公開日現在、このサーバには接続できません。

HOSTSファイルの改変

ワームは、ユーザが以下のWebサイトにアクセスできないように、システムのHOSTSファイルを改変します。

• 127.0.0.1 www.symantec.com
• 127.0.0.1 securityresponse.symantec.com
• 127.0.0.1 symantec.com
• 127.0.0.1 www.sophos.com
• 127.0.0.1 sophos.com
• 127.0.0.1 www.mcafee.com
• 127.0.0.1 mcafee.com
• 127.0.0.1 liveupdate.symantecliveupdate.com
• 127.0.0.1 www.viruslist.com
• 127.0.0.1 viruslist.com
• 127.0.0.1 viruslist.com
• 127.0.0.1 f-secure.com
• 127.0.0.1 www.f-secure.com
• 127.0.0.1 kaspersky.com
• 127.0.0.1 kaspersky-labs.com
• 127.0.0.1 www.avp.com
• 127.0.0.1 www.kaspersky.com
• 127.0.0.1 avp.com
• 127.0.0.1 www.networkassociates.com
• 127.0.0.1 networkassociates.com
• 127.0.0.1 www.ca.com
• 127.0.0.1 ca.com
• 127.0.0.1 mast.mcafee.com
• 127.0.0.1 my-etrust.com
• 127.0.0.1 www.my-etrust.com
• 127.0.0.1 download.mcafee.com
• 127.0.0.1 dispatch.mcafee.com
• 127.0.0.1 secure.nai.com
• 127.0.0.1 nai.com
• 127.0.0.1 www.nai.com
• 127.0.0.1 update.symantec.com
• 127.0.0.1 updates.symantec.com
• 127.0.0.1 us.mcafee.com
• 127.0.0.1 liveupdate.symantec.com
• 127.0.0.1 customer.symantec.com
• 127.0.0.1 rads.mcafee.com
• 127.0.0.1 trendmicro.com
• 127.0.0.1 www.trendmicro.com
• 127.0.0.1 www.grisoft.com
• 127.0.0.1 www.grisoft.com
• 127.0.0.1 virustotal.com
• 127.0.0.1 www.virustotal.com
• 127.0.0.1 virscan.org
• 127.0.0.1 www.virscan.org
• 127.0.0.1 scanner.novirusthanks.org
• 127.0.0.1 www.scanner.novirusthanks.org
• 127.0.0.1 virusscan.jotti.org
• 127.0.0.1 www.virusscan.jotti.org
• 127.0.0.1 threatexpert.com

情報漏えい

ワームは、以下の情報を収集します。

• IP address
• OS version
• host name
• language

その他

ワームが実行するコマンドは、以下のとおりです。

• プロセスおよびスレッドの作成
• 任意のファイルのダウンロードおよび実行
• DDOS攻撃の実行(SYNフラッド攻撃)
• 自身の更新
• 自身の終了

ワームが収集する情報は、以下のとおりです。

• IPアドレス
• OSのバージョン
• ホスト名
• 言語

ワームは、以下の不正活動を行います。

• コンピュータ内で、"filemon"、"procmon"、"tcpview"または"wireshark"が実行されている場合、自身を終了
• ユーザ名が、"currentuser"、"honey"、"sandbox"および"vmware"といった仮想コンピュータ関連文字列を含む場合、自身を終了
• 自身のパスと名称が"C:\sample.exe"である場合、自身を終了
• コマンド"netsh firewall add allowedprogram {malware name} 1 ENABLE"を実行することにより、ファイアウォールを回避
• P2PネットワークおよびIMアプリケーションで拡散する場合、興味をひくため以下のファイル名を利用
  • Autoloader.exe
  • DDOSPING.exe
  • Ebooks.exe
  • FREEPORN.exe
  • fuckshitcunt.scr
  • headjobs.scr
  • HotmailHacker.exe
  • How-to-make-money.exe
  • ilovetofuck.scr
  • image.scr
  • LimeWireCrack.exe
  • MSNHacks.exe
  • paris-hilton.scr
  • Porno.MPEG.exe
  • porno.scr
  • RapidsharePREMIUM.exe
  • ScreenMelter.exe
  • VistaUltimate-Crack.exe
  • WildHorneyTeens.scr
  • Wireshark.exe
  • YahooCracker.exe

ワームは、ルートキット機能を備えていません。

ワームは、脆弱性を利用した感染活動を行いません。