WORM_VOBFUS.CAP

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

• {removable drive letter}:\x.mpeg

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Profile%\{random}.exe

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%User Profile%\{random}.exe /{random letter}"

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\WindowsUpdate\
AU
NoAutoUpdate = "1"

ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(註：変更前の上記レジストリ値は、「"1"」となります。)

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• {removable drive letter}:\{random file name}.exe
• {removable drive letter}:\Passwords.exe
• {removable drive letter}:\Porn.exe
• {removable drive letter}:\Secret.exe
• {removable drive letter}:\Sexy.exe
• {removable drive letter}:\{folder name}.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

{garbage characters}
[autorun]
{garbage characters}
open={random}.Exe
{garbage characters}
ACtion={random number}
{garbage characters}
UsEaUTopLay=1
{garbage characters}

ダウンロード活動

ワームは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

• http://{BLOCKED}y.ru/f/sc.exe
• http://{BLOCKED}y.ru/f/pkc.exe

その他

ワームは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}.{BLOCKED}2.biz
• http://BLOCKED}I.{BLOCKED}2.biz
• http://{BLOCKED}1.{BLOCKED}2.biz
• http://{BLOCKED}2.{BLOCKED}2.biz
• http://{BLOCKED}r.su