WORM_DELF.CHI

2014年11月20日

解析者: Francis Xavier Antazo

別名:

Worm:Win32/Hamweq.A (MICROSOFT), a variant of Win32/Injector.EJF trojan (NOD32), HEUR:Trojan.Win32.Generic (KASPERSKY)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: ワーム
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

ワームは、リムーバブルドライブを介してコンピュータに侵入します。ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

詳細

ファイルサイズ 33,420 bytes

タイプ EXE

メモリ常駐はい

発見日 2009年7月19日

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

%System Root%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%System Root%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

ワームは、以下のフォルダを作成します。

%System Root%\RECYCLER\
%System Root%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

{Removable Drive Letter}:\RECYCLER\
{Removable Drive Letter}:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

{Removable Drive Letter}:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
shell\open\default=1