WOLYX
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
「Olyx」としても知られる「WOLYX」は、「PortalCurrent events-2009 July 5.rar」というパッケージ内で最初に確認されました。パッケージの内容は、ウィキポータルの最近の出来事のページから抜粋されたことを示唆しています。
「WOLYX」の亜種は通常、” %ProgramFiles%\Common Files\Microsoft Shared\Office12”にDLLコンポーネントファイルを作成し、自身を正規のMicrosoft のファイルに偽装します。マルウェアは、自身を自動実行させるためおよびコンピュータのメモリに常駐するために、コンポーネントファイルをサービスとしてインストールします。このマルウェアのファミリは、自身の不正活動の実行前に、特定のプロセスまたはブラウザに組み込まれている必要があります。その結果、感染したコンピュータが侵害されます。
「WOLYX」の亜種の多くは、Mac OSX上で実行する機能を備える他のバックドア型マルウェアと共にパッケージされています。
詳細
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Temp\{Random filename and extension}
マルウェアは、以下のファイルを作成し実行します。
- %Program Files%\Common Files\Microsoft Shared\OFFICE12\MSO32.DLL
(註:%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)
マルウェアは、以下のフォルダを作成します。
- %System Root%\Users\Public\{AFAFB2EE-837C-4EA5-B933-998F94AEC654}
- %System Root%\ProgramData\{AFAFB2EE-837C-4EA5-B933-998F94AEC654}
- %Windows%\TEMP\TEMP
- %Program Files%\Common Files\Microsoft Shared\OFFICE12
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Session Manager
PendingFileRenameOperations = "%User Temp\{Random filename and extension}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
1001 = "%SystemRoot%\system32\mswsock.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
1002 = "%SystemRoot%\system32\mswsock.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
1003 = "%SystemRoot%\system32\mswsock.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
1004 = "%SystemRoot%\system32\rsvpsp.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
1005 = "%SystemRoot%\system32\rsvpsp.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSock2\mswsock32
PathName = "%Program Files%\Common Files\Microsoft Shared\OFFICE12\MSO32.DLL"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}.{BLOCKED}.172.177
対応方法
トレンドマイクロのお客様:
最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。
インターネットをご利用の皆様:
- トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
- 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください