Trend Micro Security

WORM_FLYSTUD.QWI

2012年10月9日
 解析者: Roland Marco Dela Paz   
 別名:

Win32/AutoRun.FlyStudio.ZE (NOD32); W32.SillyFDC (Symantec)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。

  詳細

ファイルサイズ 815,214 bytes
タイプ EXE
発見日 2012年6月1日

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

  • %System Root%\autorun.inf\desktop.ini
  • %Program Files%\autorun.inf\desktop.ini
  • %Program Files%\Windows Media Player\autorun.inf\desktop.ini
  • %User Temp%\E_N4\eAPI.fne
  • %User Temp%\E_N4\internet.fne
  • %User Temp%\E_N4\krnln.fnr
  • %User Temp%\E_N4\Md5.fne

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Program Files%は、標準設定では "C:\Program Files" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a\autorun.inf\svchost.exe¡¡

(註:%Program Files%は、標準設定では "C:\Program Files" です。)

ワームは、以下のフォルダを作成します。

  • %System Root%\autorun.inf
  • %System Root%\autorun.inf\ÎļþÃâÒß.
  • %Program Files%\autorun.inf
  • %Program Files%\autorun.inf\ÎļþÃâÒß.
  • %Program Files%\Windows Media Player\autorun.inf
  • %Program Files%\Windows Media Player\autorun.inf\ÎļþÃâÒß.
  • %User Temp%\E_N4
  • %Program Files%\Windows Media Player\c\f
  • %Program Files%\Windows Media Player\c\f\c
  • %Program Files%\Windows Media Player\c\f\c\d
  • %Program Files%\Windows Media Player\c\f\c\d\2
  • %Program Files%\Windows Media Player\c\f\c\d\2\0
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a
  • %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a\autorun.inf

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Program Files%は、標準設定では "C:\Program Files" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = Userinit,"%Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a\autorun.inf\svchost.exe¡¡

(註:変更前の上記レジストリ値は、「C:\WINDOWS\system32\userinit.exe,」となります。)

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\.exe¡¡

HKEY_CURRENT_USER\Software\LoveQ

感染活動

ワームは、すべての物理ドライブおよびリムーバブルドライブ内でフォルダを検索し、検索したフォルダ内に "<フォルダ名>.EXE" として自身のコピーを作成します。

ワームは、以下のファイル名を用いて、ネットワーク共有フォルダ内に自身のコピーを作成します。

  • ...exe
  • ..exe