P2P-Worm.Win32.Scranor

技術的な詳細

このワームは、KazaaおよびiMeshのファイル共有ネットワークを介して、またIRC経由でも広がります。

ワーム自体はWindows PE EXEファイルで、サイズは約12KBです。

インストール

ワームは起動後、Program Filesディレクトリに "Sys32i"というフォルダを作成し、このファイルに "Scran.exe"として自身をコピーします。

このファイルは、自動レジストリを有効にするキーとしてシステムレジストリに登録されています。

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  W32.Scran =％ProgramDir％sys32iScran.exe 

これにより、システムが再起動されるたびにワームが起動されます。

このワームは、以下の名前で自身のコピーをさらにいくつか作成します。

 Age of Empires crack.exe 
Age of Empires.exe
CD Key.exe 
カウンターストライク6.exe
Counter Strike.exe
グランドセフトオート3 CD2 ISO.exe
Half-Life.exe
Hotmailアカウントcracker.exe
Hotmail Hack.exe
KeyGen.exe
Microsoft Office.exe
Norton Anti Virus 2004.exe
Norton Anti Virus 2005.exe
Norton Anti Virus Crack.exe
Norton Firewall.exe 
Norton Internet Security 2004.exe
パーティションマジック8.exe
プレイステーション2.exe
Resident Evil.exe
Scran.cpl
墓Raider.exe
トロイの木馬Remover.exe
Windows XP Home.exe
Yahoo Hack.exe
ZoneAlarm Firewall Pro.exe 

このフォルダは、KazaaおよびiMeshのローカルコンテンツとしてシステムレジストリに表示されます。

 [HKCUSoftwareKazaaLocalContent]
[HKCUSoftwareKazaaTransfer]
  "dir0" = "012345：％ProgramDir％sys32i"
[HKCUSoftwareiMeshClientLocalContent]
  "dir0" = "012345：％ProgramDir％sys32i" 

これらのファイルは、P2Pネットワークの他のユーザーがアクセスできるようになります。

ワームは識別子 "W32.Scran-Worm"を生成し、システム内にその存在をフラグ付けします。

IRCによる伝播

ワームは被害者マシンからIRCクライアントを検索します。感染ファイルを検出すると、 "script.ini"ファイルの内容が変更され、感染マシンが使用するIRCチャネルを入力したすべてのユーザーにワームが渡されます。

その他

ワームはhttp://www.freewebs.comから "botnet.jpg"という名前のファイルをダウンロードします。このファイルはC：のルートディレクトリに "botnet.exe"として保存されます。このファイルには最新バージョンのBackdoor.Win32.Rbot.genが含まれています。

1月1日に、このワームは次のテキストを含むダイアログボックスを表示して、画面に表示します。

ハ？
ハッピーニューイヤーW32.Scran !!