Worm.Win32.PEPEX.AB
Win32/Pepex.M worm (NOD32); Ransom:Win32/WannaCrypt (Microsoft)
Windows
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ワームは、ネットワーク共有フォルダを経由してコンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のファイルを作成し実行します。
- %Windows%\lsasvs.exe <- detected as BKDR_TORLOAD.A, installs and executes the Tor client (lsass.bin)
自動実行方法
ワームは、以下のサービスを追加し、実行します。
- ServiceName: shcservice
DisplayName: Windows SHC Service.
ImagePath: cmd.exe /c “net share C$=C:\”. <- This makes the C drive of the remote machine shared - ServiceName: WUpdator
DisplayName: Windows Updator
ImagePath: %Windows%\svchost.exe -> This will execute its copy in the remote machine
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
感染活動
ワームは、以下のファイル名を用いて、ネットワーク共有フォルダ内に自身のコピーを作成します。
- %Windows%\svchost.exe
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
作成活動
ワームは、以下のファイルを作成します。
- %Windows%\lsass.bin <- contains the Tor Client and its components
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
その他
ワームは以下を実行します。
- ワームは、開いているポート445を検索するために以下を実行します。
- ランダムに生成したIPアドレスによりインターネットおよびローカルエリアネットワーク(LAN)をスキャンします。
- ワームは、LAN上あるいはインターネットに接続するコンピュータでポート445が開いているものを確認すると、パスワードリスト攻撃によりIPC$共有リソースへの接続を試みます。接続に成功すると、コンピュータのCドライブを共有するためのサービスを作成し、自身のコピーを作成・実行します。
- ワームは、以下のユーザ名およびパスワードを用いて、パスワード保護された共有フォルダにアクセスします。
- "administrator"
- "administrador"
- "admin"
- "superadmin"
- "db2admin"
- "123456"
- "password"
- "12345678"
- "qwerty"
- "12345"
- "123456789"
- "football"
- "1234"
- "1234567"
- "baseball"
- "welcome"
- "welkome"
- "1234567890"
- "abc123"
- "111111"
- "1qaz2wsx"
- "dragon"
- "master"
- "monkey"
- "letmein"
- "login"
- "princess"
- "qwertyuiop"
- "solo"
- "passw0rd"
- "p@ssw0rd"
- "starwars"
- "server"
- "passwd"
- "angel"
- "admin"
- "root"
- "!@#$"
- "BUMBLE"
- "qwer"
- "asdf"
- "asdfg"
- "54321"
- "4321"
- "!@#$%"
- "!@#$%^"
- "!@#$%^&"
- "!@#$%^&*"
- "!@#$%^&*("
- "!@#$%^&*()"
- "pussy"
- "696969"
- "mustang"
- "michael"
- "shadow"
- "jennifer"
- "2000"
- "jordan"
- "superman"
- "harley"
- "fuckme"
- "hunter"
- "fuckyou"
- "trustno1"
- "ranger"
- "buster"
- "thomas"
- "tigger"
- "robert"
- "soccer"
- "fuck"
- "batman"
- "test"
- "pass"
- "killer"
- "hockey"
- "george"
- "charlie"
- "andrew"
- "michelle"
- "love"
- "sunshine"
- "jessica"
- "asshole"
- "6969"
- "pepper"
- "daniel"
- "access"
- "654321"
- "joshua"
- "maggie"
- "silver"
- "william"
- "dallas"
- "yankees"
- "123123"
- "ashley"
- "666666"
- "hello"
- "amanda"
- "orange"
- "biteme"
- "freedom"
- "computer"
- "sexy"
- "thunder"
- "nicole"
- "ginger"
- "heather"
- "hammer"
- "summer"
- "corvette"
- "taylor"
- "fucker"
- "austin"
- "1111"
- "merlin"
- "matthew"
- "121212"
- "golfer"
- "cheese"
- "martin"
- "chelsea"
- "patrick"
- "richard"
- "diamond"
- "yellow"
- "bigdog"
- "secret"
- "asdfgh"
- "sparky"
- "cowboy"
<補足>
インストール
ワームは、以下のファイルを作成し実行します。
- %Windows%\lsasvs.exe ← ワームは、「BKDR_TORLOAD.A」として検出される以下のファイルを作成します。これは、匿名通信システム「Tor」のクライアントが含まれる "lsass.bin" をインストールして実行します。
自動実行方法
ワームは、以下のサービスを追加し、実行します。
- ServiceName: shcservice
DisplayName: Windows SHC Service.
ImagePath: cmd.exe /c “net share C$=C:\”.
※これにより、遠隔のコンピュータのCドライブを共有ドライブにします。 - ServiceName: WUpdator
DisplayName: Windows Updator
ImagePath: C:\Windows\svchost.exe
※これにより、遠隔のコンピュータに作成した自身のコピーを実行します。
作成活動
ワームは、以下のファイルを作成します。
- %Windows%\lsass.bin ← 「Tor」のクライアントおよびそのコンポーネントを含む。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
このマルウェアのサービスを無効にします。
- shcserviceWUpdator
手順 4
Windowsをセーフモードで再起動します。
手順 5
この「Worm.Win32.PEPEX.AB」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)
- BKDR_TORLOAD.A
手順 6
以下のファイルを検索し削除します。
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Worm.Win32.PEPEX.AB」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください