Worm/Winko.I - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Winko.I
発見日：	22/10/2007
タイプ	ワーム
感染報告有り	はい
感染報告	低
感染の可能性	低～中
ダメージ・ポテンシャル	中
スタティック・ファイル	いいえ
ファイル・サイズ	~17.000 バイト
IVDFファージョン：	7.00.00.117 - Mon, 22 Oct 2007 14:13 (GMT+1)

一般情報 感染方法
   • 割り当てられたネットワーク・ドライブ

別名
   • Kaspersky(カスペルスキー) Worm.Win32.AutoRun.cxp
   • F-Secure(エフ・セキュア) Worm:W32/AutoRun.CX
   • Grisoft Downloader.Small.BYN
   • Eset Win32/TrojanDownloader.Flux.AC
   • ビットディフェンダー(Bitdefender)： Win32.Worm.Winko.I

同じような検出:
   • Worm/Winko.I.%番号%

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • ファイルをダウンロードします。
   • 悪意ファイルを作成します。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
   • %SYSDIR%\%ランダムにいくつか選ばれた0から9までの数%.EXE
   • %ドライバ% \auto.exe

最初に実行したコピーの方を削除します。

以下のファイルが作成されます：

– %ドライバ% \autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです：
   •

– %SYSDIR%\C%ランダムにいくつか選ばれた0から9までの数%.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： TR/Autorun.CA

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://33.xingaide8.cn/**********/update.txt
このファイルはさらなるダウンロード先を含むため、新たな危険の原因となる恐れがあります。

レジストリ以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです：

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %ランダムな文字列%]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\%ランダムにいくつか選ばれた0から9までの数%.EXE -k
   • DisplayName = %ランダムな文字列%
   • ObjectName = LocalSystem
   • Description = C%ランダムにいくつか選ばれた0から9までの数%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %ランダムな文字列%\Security]
   • Security = %hex値%

以下のレジストリ・キーが、中に含まれるすべての値とサブキーと一緒に消されます。
   • [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]

以下のレジストリ・キーは変更されます：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   新しい値
   • CheckedValue = 0

– [HKLM\SOFTWARE\Microsoft\Windows NT]
   新しい値
   • ReportBootOk= 1

– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
   新しい値
   • DoReport = 0
   • ShowUI = 0

挿入(Injection) – 以下のファイルをプロセスに挿入させます： %SYSDIR%\C%ランダムにいくつか選ばれた0から9までの数%.dll

    プロセス名：｜以下のすべて：
   • explorer.exe
   • winlogon.exe
   • %すべての起動中のプロセス%

   成功すると、挿入された部分は実行されたまま、マルウェアは自身のプロセスを終了させます。

ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• Upack

簡単な説明はココにあります。.

この説明は Andrei Gherman によって Mon, 16 Jun 2008 11:43 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Thu, 19 Jun 2008 07:59 (GMT+1) 更新されました。

» マルウェアについて
» フィッシングについて
» In the Wild ウイルス

« 戻る