解析者: Christopher Daniel So   
 別名:

PWS:Win32/Reder.B (Microsoft), Trojan.Neloweg (Symantec), Trojan-Banker.Win32.Neloweg.a (Kaspersky)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows 7

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 他のマルウェアからの作成

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、オンライン取引で交わされる情報を収集することを目的とする「バックドア」に分類されるマルウェアです。監視対象となるURLのリストは、サイバー犯罪者によって更新されます。また、マルウェアは、Windows Vista およひ Windows 7上で自身を実行する機能も備えています。

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

  詳細

ファイルサイズ 不定
タイプ DLL
メモリ常駐 はい
発見日 2012年3月8日
ペイロード システムセキュリティへの感染活動, ファイルの作成

侵入方法

マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

  • TROJ_NELOWEG.DD

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • !storage! – retrieves the stored passwords of the browser where this malware is running, and sends it to the C&C server
  • !block! – set the registry entry HKEY_CURRENT_USER\UDP !block!
  • !screen! – set the registry entry HKEY_CURRENT_USER\UDP !screen!
  • !filter! – set the registry entry HKEY_CURRENT_USER\UDP !filter!
  • !alt! – set the registry entry HKEY_CURRENT_USER\UDP !alt! which contains the alternate C&C servers
  • !tickit! – set the registry entry HKEY_CURRENT_USER\UDP !tickit!
  • !content! – create the registry key HKEY_CURRENT_USER\UDP\c and set registry entries in it
  • !reder! – create the registry key HKEY_CURRENT_USER\UDP\r and set registry entries in it
  • !cmd! – download a file and execute it
  • !kill! – delete the files C:\boot.ini, %System%\dllcache\userinit.exe, and %System%\userinit.exe and forcefully restarts the system

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

その他

マルウェアが実行するコマンドは以下のとおりです。

  • !storage!
    マルウェアを実行しているブラウザに保存されたパスワードを読み出し、コマンド&コントロール(C&C)サーバへ送信
  • !block!
    レジストリ値「HKEY_CURRENT_USER\UDP !block!」の設定
  • !screen!
    レジストリ値「HKEY_CURRENT_USER\UDP !screen!」の設定
  • !filter!
    レジストリ値「HKEY_CURRENT_USER\UDP !filter!」の設定
  • !alt!
    レジストリ値「HKEY_CURRENT_USER\UDP !alt!」の設定(レジストリ値は代替のC&CサーバのURLの情報を含む)
  • !tickit!
    レジストリ値「HKEY_CURRENT_USER\UDP !tickit!」の設定
  • !content!
    レジストリキー「HKEY_CURRENT_USER\UDP\c」の作成およびレジストリ値の設定
  • !reder!
    レジストリキー「HKEY_CURRENT_USER\UDP\r」の作成およびレジストリ値の設定
  • !cmd!
    ファイルのダウンロードと実行
  • !kill!
    ファイル "C:\boot.ini" 、"%System%\dllcache\userinit.exe" および "%System%\userinit.exe" の削除、およびコンピュータの強制再起動

マルウェアは、「Winsock 名前空間プロバイダ」としてインストールされます。「Winsock 名前空間プロバイダ」は、Winsockライブラリが起動するたびにこのマルウェアを実行します。

マルウェアは、以下で自身が実行しているかを確認します。

  • Avant
  • Firefox
  • Internet Explorer
  • Maxthon
  • MyIE
  • Windows Live Toolbar

マルウェアが「Firefox」で実行されている場合、以下の活動をします。

  • 以下のファイルの削除
    • %Program Files%\Java\jre6\lib\deploy\jqs\ff\chrome\content\overlay.js
  • 以下のファイルの作成
    • %Program Files%\Mozilla Firefox\components\nsILego.xpt
    • %Program Files%\Mozilla Firefox\components\nsLego.js
    • %Program Files%\Mozilla Firefox\error.jar
    • %Program Files%\Mozilla Firefox\error.manifest
(註:%Program Files%は、標準設定では "C:\Program Files" です。)

この作成されるファイル "error.jar" は、トレンドマイクロでは「JS_NELOWEG.DD」として検出されるJavaScriptファイルを含んでいます。

マルウェアが、「Firefox」で実行されていない場合、マルウェアは以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
1406 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
1607 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
1609 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
1406 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
1607 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
1609 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
1406 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
1607 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
1609 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
1406 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
1607 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
1609 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
1406 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
1607 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
1609 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
NoProtectedModeBanner = "1"

マルウェアは、以下のレジストリ値からコマンド&コントロール(C&C)サーバのURLを取得します。

HKEY_CURRENT_USER\UDP
g = "{obfuscated C&C server URL}"

HKEY_CURRENT_USER\UDP
!alt! = "{obfuscated C&C server URL}"

ブラウザがWebサイトを読み込む際、マルウェアは、そのURLが以下のレジストリキーで定義されているかを確認します。

HKEY_CURRENT_USER\UDP\c

URLが定義されていた場合、マルウェアは、読み込み中のWebページにJavaScriptのコードを持つHTMLファイルを組み込みます。

マルウェアは、URLが以下のレジストリ値で定義されているかを確認します。

HKEY_CURRENT_USER\UDP
!block! = "{list of URLs to block}"

URLが上述の「!block!」で確認された場合は、そのURLへのアクセスは回避され、ユーザは、以下のレジストリ値で定義された他のURLに誘導されます。

HKEY_CURRENT_USER\UDP
!reder! = "{list of URLs to redirect to}"

「Submitイベント」や「Clickイベント」、「KeyPressイベント」をフックします。Webページ内の入力フォームに入力されたデータが転送されると、入力されたすべてのデータと共に、入力データの送信先URLのアドレスをC&Cサーバへ送信します。フォーム内のボタンまたはリンクがクリックされると、リンク先URLのアドレスをC&Cサーバへ送信します。「KeyPressイベント」が確認され、押されたキーが「Enter」キーであるとき、(「Enter」キーがフォームに入力されたデータの転送に使われている場合)入力されたすべてのデータと共に、入力データの送信先URLのアドレスをC&Cサーバへ送信します。

  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 8.834.04
初回 VSAPI パターンリリース日 2012年3月14日
VSAPI OPR パターンバージョン 8.835.00
VSAPI OPR パターンリリース日 2012年3月14日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「BKDR_NELOWEG.DD」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    • NoProtectedModeBanner = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
    • 1406 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
    • 1607 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
    • 1609 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
    • 2500 = "3"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    • 1406 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    • 1607 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    • 1609 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    • 2500 = "3"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
    • 1406 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
    • 1607 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
    • 1609 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
    • 2500 = "3"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    • 1406 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    • 1607 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    • 1609 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    • 2500 = "3"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
    • 1406 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
    • 1607 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
    • 1609 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
    • 2500 = "3"

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Program Files%\Mozilla Firefox\components\nsILego.xpt
  • %Program Files%\Mozilla Firefox\components\nsLego.js
  • %Program Files%\Mozilla Firefox\error.jar
  • %Program Files%\Mozilla Firefox\error.manifest

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「BKDR_NELOWEG.DD」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 7

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

  • %Program Files%\Java\jre6\lib\deploy\jqs\ff\chrome\content\overlay.js


ご利用はいかがでしたか? アンケートにご協力ください

関連マルウェア