VBS.Vlerli
【外部リンク】
https://www.symantec.com/security_response/writeup.jsp?docid=2017-070611-0813-99
Systems Affected:
Windows
Once executed, the worm creates the following files:
%AppData%\Adobe Photoshop\Picture.Png
%AppData%\Adobe PhotoShop\Photo.Jpeg
%AppData%\Adobe PhotoShop\Share\DCIM\Photo.Jpeg
%AppData%\Adobe PhotoShop\Share\MOVIES\Photo.Jpeg
%AppData%\Adobe PhotoShop\Share\MUSIC\Photo.Jpeg
%AppData%\Adobe PhotoShop\Share\VIDEO\Photo.Jpeg
%AppData%\Adobe PhotoShop\Share\XNXX\Photo.Jpeg
%AppData%\Adobe PhotoShop\runsc.exe
%AppData%\Adobe PhotoShop\Startrun.pif
%AppData%\Adobe PhotoShop\Share\DCIM\Pictur.jpg.lnk
%AppData%\Adobe PhotoShop\Share\MOVIES\Movies.Mp4.lnk
%AppData%\Adobe PhotoShop\Share\MUSIC\Music.Mp3.lnk
%AppData%\Adobe PhotoShop\Share\VIDEO\YouTube.Flv.lnk
%AppData%\Adobe PhotoShop\Share\XNXX\Video.Mp4
[ALL DRIVES]\Adobe\Picture.png
[ALL DRIVES]\Adobe\runsc.exe
The worm creates the follwoing registry subkeys so that it runs every time Windows starts:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Adobe PhotoShop
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Adobe PhotoShop
The worm deletes LNK file associations found under the following registry subkey:
HKEY_CURRENT_USER
The worm modifies the following registry entries:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\"EnableLUA" = "0"
The worm creates a link to itself in all open shares on the compromised computer.
The worm ends all processes associated with the following folder:
%AppData%\Adobe PhotoShop
Next, the worm ends all processes associated with Smadav and USB Disk Security to allow it to spread onto removable drives.
The worm also ends the following processes:
usbguard.exe
procexp.exe
processhacker.exe
The worm disables security notifications on the compromised computer.
The worm then opens a backdoor on the compromised computer and connects to one or more of the following remote locations:
mr-wolf.[REMOVED]ectme.net:2016
mr-wolf.l[REMOVED]kpc.net:2016
mr-wolf.m[REMOVED]-see.com:2016
Next, the worm gathers the following information and sends it to a remote location:
Installed antivirus product names
Operation system information
The worm may then perform the following actions:
Uninstall itself
Update itself
Execute scripts or commands
The worm spreads via removable drives and network shares.
人気の投稿
-
n117 データアクセスに制限がかかっています 【外部リンク】 https://id.smt.docomo.ne.jp/src/utility/errorcode_list.html dアカウント設定のエラーコードと対処方法 エラーコード一覧(2019年7月... -
PS Vita / PS Vita TV のエラーコード 【外部リンク】 https://www.playstation.com/ja-jp/support/hardware/psvita-problem-reading-disc/ PlayStationVita / Pla... -
住信SBIネット銀行 ログイン パスワードの確認 現在この取引はお取扱いできません。ホーム画面よりシステムメンテナンス情報をご確認のうえ、あらためてお手続きください。 ( IBapE9099005 )パスワードの確認 現在この取引はお取扱いできません。ホーム画面よりシステムメンテナンス情報をご確認のうえ、あらためてお手続きください。 ( IBapE9099005 ) 当サイトをご利用になるためには、JavaScript対応のブラウザが必要です。また、設定でJ... -
【外部リンク】 https://faq.gmo-pg.com/service/Detail.aspx?id=1217 エラーコード/ 【E21】E21020001 エラーについて 3Dセキュア認証エラーの際、返却されるエラーコードです。 ご利... -
au ID セッションタイムアウトになりました。再度接続してください。(CCAE0003) ※何度も、このエラーが表示される場合は、ご利用のブラウザでCookieを受け入れる設定に変更を行ってください。 【外部リンク】 https://id.auone.jp/age/...