本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Worm.Win32.AutoRun

検出日 06/30/2010
クラス Worm
プラットフォーム Win32
説明

ワームは.dllファイルをアクティブなすべてのプロセスにロードします。

ワームはまた、下記のいずれかのプロセスが起動された場合、マウスイベントとキーボードイベントを傍受します。

maplestory.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe

ワームは以下のゲームに関するアカウントデータを収集します:

ZhengTu
Wanmi ShijieまたはPerfect World
デカロンSiwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
シールオンライン
メイプルストーリー
R2(革命の統治)
テイルズウィーバー

収穫されたデータは、リモートの悪意のあるユーザーのサイトに送信されます。

ワームは、以下のシステムレジストリキーのパラメータ値も変更します。

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFol
derHiddenSHOWALL]
"CheckedValue" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"非表示" = "2"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"ShowSuperHidden" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionPociliesExplorer]
"NoDriveTypeAutoRun" = "0x91"

たとえば、Worm.Win32.AutoRun.beot:

ワームは自身をローカルディスクとアクセス可能なネットワークリソースにコピーします。 Windows(PE-EXEファイル)です。サイズは47733バイトです。それはFSGによって詰め込まれています。解凍されたファイルサイズは約160 KBです。これはDelphiで書かれています。

インストール

ワームは、起動されると、その本体をユーザのコンピュータのシステムディスクにコピーします。

作成されたコピーが、システムが再起動するたびに自動的に起動されるようにするには、次のレジストリキーが作成されます。

 [HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun] 

伝搬

ワームは、感染したコンピュータに接続されているすべての書き込み可能なリムーバブルディスクにその本文をコピーします。ファイル "AutoRun.inf"は、感染ディスクのルートにコピーと共に作成されます。これは、ユーザーが感染したリムーバブルディスクを "エクスプローラ"を使用して開くたびに実行されるコピーを提供します。


オリジナルへのリンク