■侵入(インストレーション)について
ワームが実行されると、ワームは自分自身のコピーを次の場所へコピーします。
|
%system%\%variable%.dll
%program files%\Internet Explorer\%variable%.dll
%program files%\Movie Maker\%variable%.dll
%appdata%\%variable%.dll
%temp%\%variable%.dll
※ %variable% には適当な文字列が入ります。 |
この %variable%.dll ライブラリは、次のプロセスにインジェクトします。
|
explorer.exe
services.exe
svchost.exe
|
ワームは、次の文字列から合成した名前を Windows サービスとして登録します。
|
Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows |
ワームは、次の名前を使ってシステムサービスに自身を登録します。
|
netsvcs
|
ワームは、システムが開始されるごとに実行できるよう、次のレジストリを登録します。
|
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"%variable_name%" = "rundll32.exe "%system%\%variable%.dll",%random_string%"
※ %random_string% には、適当な文字列が入ります。 |
次のレジストリを設定します。
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
%random service name%\Parameters]
"ServiceDll" = "%system%\%variable%.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\%random service name%]
"Image Path" = "%System Root%\system32\svchost.exe -k netsvcs"
"DisplayName" = "random service name%"
"Type" = 32
"Start" = 2
"ErrorControl" = 0
"ObjectName" = "LocalSystem"
"Description" = "%variable_name%"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpNumConnections" = 16777214
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = 0
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets]
"gip" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets]
"gip" = 0
※ %random service name% には、適当な文字列が入ります。 |
次の登録されているレジストリを削除します。
|
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
"wscsvc" = "%filepath%"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender" = "%filepath%" |
■ワームの拡散について
ワームは、適当なポートを使用してHTTPサーバーを自ら起動します。
ワームは、Server Serviceの脆弱性を利用した接続を試みるため、リモート先のコンピュータに対して TCP 139、445 番ポートを使った攻撃を行います。
この試みが成功すると、ワームは感染したコンピュータに接続させて、ワームのコピーをダウンロードします。
この脆弱性は、Microsoft 社Webサイトにて MS08-067 で記述されています。
■共有フォルダ経由の拡散について
ワームは、ローカル ネットワーク上の他のコンピュータの共有フォルダに自分自身をコピーを試みます。
ワームは、共有フォルダへアクセスするために次のパスワードを使ってログインを試みます。
|
123
1234
12345
123456
1234567
12345678
123456789
1234567890
123123
12321
123321
123abc
123qwe
123asd
1234abcd
1234qwer
1q2w3e
a1b2c3
admin
Admin
administrator
nimda
qwewq
qweewq
qwerty
qweasd
asdsa
asddsa
asdzxc
asdfgh
qweasdzxc
q1w2e3
qazwsx
qazwsxedc
zxcxz
zxccxz
zxcvb
zxcvbn
passwd
password
Password
login
Login
pass
mypass
mypassword
adminadmin
root
rootroot
test
testtest
temp
temptemp
foofoo
foobar
default
password1
password12
password123
admin1
admin12
admin123
pass1
pass12
pass123
root123
pw123
abc123
qwe123
test123
temp123
mypc123
home123
work123
boss123
love123
sample
example
internet
Internet
nopass
nopassword
nothing
ihavenopass
temporary
manager
business
oracle
lotus
database
backup
owner
computer
server
secret
super
share
superuser
supervisor
office
shadow
system
public
secure
security
desktop
changeme
codename
codeword
nobody
cluster
customer
exchange
explorer
campus
money
access
domain
letmein
letitbe
anything
unknown
monitor
windows
files
academia
account
student
freedom
forever
cookie
coffee
market
private
games
killer
controller
intranet
work
home
job
foo
web
file
sql
aaa
aaaa
aaaaa
qqq
qqqq
qqqqq
xxx
xxxx
xxxxx
zzz
zzzz
zzzzz
fuck
12
21
321
4321
54321
654321
7654321
87654321
987654321
0987654321
0
00
000
0000
00000
00000
0000000
00000000
1
11
111
1111
11111
111111
1111111
11111111
2
22
222
2222
22222
222222
2222222
22222222
3
33
333
3333
33333
333333
3333333
33333333
4
44
444
4444
44444
444444
4444444
44444444
5
55
555
5555
55555
555555
5555555
55555555
6
66
666
6666
66666
666666
6666666
66666666
7
77
777
7777
77777
777777
7777777
77777777
8
88
888
8888
88888
888888
8888888
88888888
9
99
999
9999
99999
999999
9999999
99999999 |
ログインが成功すると、次の場所へワームをコピーします。
|
\\%hostname%\ADMIN$\System32\%variable%.dll
|
ワームは、Windows のタスク(タスク スケジューラ)に、次のコマンドが毎日実行できるよう登録します。
|
rundll32.exe %variable%.dll, %random_string%
※ %variable% には適当な文字列が入ります。 |
■リムーバブルメディア経由の拡散について
ワームは、リムーバブルドライブの既存フォルダに自分自身のコピーを次の名前で試みます。
|
%drive%\RECYCLER\S-%variable1%\%variable2%.%variable3%
※variable 1~3は、可変的な文字列が使用されます。 |
ワームは、次の場所にファイルを作成します。
|
%drive%\autorun.inf
※ %drive% は、リムーバブルドライブのドライブパスが入ります。 |
これにより、ワームは感染したメディアをコンピュータに挿入することで活動を可能にします。
■その他の情報
ワームは、次のサービスを無効にします。
|
Windows Security Center Service (wscsvc)
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Defender Service (WinDefend)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc) |
ワームは、次のプロセスを起動します。
|
netsh interface tcp set global autotuning=disabled
|
ワームは、次の文字列が含まれるドメインへのアクセスを遮断します。
|
ahnlab
arcabit
avast
avira
castlecops
centralcommand
clamav
comodo
computerassociates
cpsecure
defender
drweb
emsisoft
esafe
eset
etrust
ewido
fortinet
f-prot
f-secure
gdata
grisoft
hacksoft
hauri
ikarus
jotti
k7computing
kaspersky
malware
mcafee
microsoft
networkassociates
nod32
norman
norton
panda
pctools
prevx
quickheal
rising
rootkit
securecomputing
sophos
spamhaus
spyware
sunbelt
symantec
threatexpert
trendmicro
virus
wilderssecurity
windowsupdate
|
現在のシステム日時とマッチすると、ワームはインターネットからいくつかのファイルをダウンロードし、ダウンロードしたファイルは次の場所へ保存します。
|
%temp%
|
保存が成功した場合は、次のファイル名で保存されます。
|
%variable%.tmp
※ %variable% には、可変的な文字列が入ります。 |
ワームは、Windows のタスクに AT1 という名前でスケジュールで自分自身を実行させるための登録をします。
現在のシステム日時とマッチすると、ワームはインターネットからいくつかのファイルをダウンロードし、これらのファイルは実行されます。このワームは、1つのURLリストを含まれています。
ワームは、次のレジストリを設定する場合があります。
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"%port number%:TCP" = "%port number%:TCP:*:Enabled:%variable%"
|
これにより、Windows ファイアウォールの例外にワームが通信する内容が許可されることになります。
|