■侵入(インストレーション)について
ワームが実行されると、ワームは自分自身を次のファイル名を使って %system% フォルダへドロップします。
|
%variable%.dll
※ %variable% には適当な文字列が入ります。 |
この %variable%.dll ライブラリは、次のプロセスにインジェクトします。
|
services.exe
|
ワームは、次の名前を使ってシステムサービスに自身を登録します。
|
netsvcs |
ワームは、システムが開始されるごとに実行できるよう、次のレジストリを登録します。
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%\Parameters]
"ServiceDll" = "%system%\%variable%.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%]
"Image Path" = "%System Root%\system32\svchost.exe -k netsvcs"
※ %random service name% には、適当な文字列が入ります。
|
■ワームの拡散について
ワームは、適当なポートを使用してHTTPサーバーを自ら起動します。
ワームは、Server Serviceの脆弱性を利用した接続を試みるため、リモート先のコンピュータに対して TCP 445 番ポートを使った攻撃を行います。
この試みが成功すると、ワームは感染したコンピュータに接続させて、ワームのコピーをダウンロードします。
この脆弱性は、Microsoft 社Webサイトにて MS08-067 で記述されています。
■その他の情報
ワームは、Windows のタスクに AT1 という名前でスケジュールで自分自身を実行させるための登録をします。
現在のシステム日時とマッチすると、ワームはインターネットからいくつかのファイルをダウンロードし、これらのファイルは実行されます。このワームは、1つのURLリストを含まれています。
ワームは、次のサービスを停止します。
|
Windows Firewall |
|