解析者: Roland Marco Dela Paz   
 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 ピアツーピア(P2P)ネットワークを介した感染活動

ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

  詳細

使用ポート Varies
ファイルサイズ 不定
タイプ PE
メモリ常駐 はい
発見日 2010年10月30日
ペイロード システムセキュリティへの感染活動, 情報収集

侵入方法

ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ワームは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

  • http://savupdate.{BLOCKED}evalidate.net/ctfup32.rar
  • http://health.{BLOCKED}plus.net/ctfup32.rar

インストール

ワームは、以下のファイルを作成します。

  • %User Temp%\~~{random number}.tmp - also detected as BKDR_OFICLA.AI
  • %System%\{random file name}.dat - encrypted data
  • %System%\{random file name}.ocx - copy of itself

(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\CLSID\{random CLSID}
(Default) = {random registry value}

HKEY_CLASSES_ROOT\CLSID\{random CLSID}\
InprocServer32
(Default) = %System%\{random file name}.ocx

HKEY_CLASSES_ROOT\CLSID\{random CLSID}\
InprocServer32
ThreadingModel = Apartment

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
ShellIconOverlayIdentifiers\{random key}
(Default) = {random CLSID}

その他

このワームのコードから、ワームは、以下の機能を備えています。

  • Backdoor Routines

    Upon execution, it terminates EXPLORER.EXE and restarts the process with its code injected in it. It then attempts to resolve the host to any of the following servers:

    • http://{BLOCKED}ate.licensevalidate.net
    • http://{BLOCKED}s.hostfarmville.net

    Once a user opens a browser, it will perform a HTTP POST request with the following parameters containing system information:

    • http://{malware server}/index.php/r={parameter}&i=&v={version}&os={operating system}&s=&h=&d={parameter}&b={parameter}&u={parameter}&k={parameter}&m={parameter}&panic={parameter}&ie={parameter}&input={parameter}&c={country of affected system}&l={parameter}

    It will then expect to receive backdoor commands from the server.

    As of writing, the server replies with commands that does the following:

    • Assign a unique ID for the bot
    • Move a file named "c:\myservice.log" - not present in the system
    • Download, execute, and save the file downloaded from the website http://savupdate.{BLOCKED}evalidate.net/login.php as %User Temp%\tmsfoload.exe. Trend Micro detects this executable file as WORM_COREFLOOD.A. As of writing, the downloaded file is an updated copy of itself.

  • Propagation via Network Shares

    • It scans the network for random IP addresses to search for target systems.
    • It then attempts to drop and execute the following copy of itself to target IP addresses:
    • %Windows%\System\ctfmnt.exe

  • Download Routine

    It downloads a non-malicious component file named rar.exe from its server. It will then use this downloaded file to unpack the next file it will download from the server, ctfup32.rar, which is an archive file containing an updated copy of the malware.

    Initially, the malware will save all the downloaded files to the %User Temp% folder. Afterwards, it will install the contents of the archive ctfup32.rar to the %Windows%\System folder.

  • Information Theft

    It monitors certain applications such as the following:

    • Firefox
    • Opera
    • Skype

    It logs user keystrokes when affected users visit Web sites with the following strings:

    • answer
    • challenge
    • clave
    • codigo
    • firma
    • identifica
    • memorable
    • parol
    • passphras
    • password
    • secret
    • secur
    • segur

  • Other Details

  • It logs the status of its installation to the affected system and to all the network shares it tried to infect to the following files:
    • %User Temp%\tlmlg1.log
    • %User Temp%\tlmlg2.log
  • It uploads the file %User Temp%\cmtemp.tmp to its server.
  • It may also perform the following:
    • Steal data from HTTPS sessions.
    • Read these component files, which are currently not found on systems: ie.dat, input.dat, other.dat, panic.dat.

  対応方法

対応検索エンジン: 8.900
VSAPI パターンファイル: 7.580.05
VSAPI パターンリリース日: 2010年10月30日
VSAPI パターンリリース日: 10/30/2010 12:00:00 AM

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

追加されたランダムなCLSIDキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %System%\{random file name}.dat
  • %User Temp%\ctfup32.rar
  • %User Temp%\rar.exe
  • %User Temp%\tlmlg1.log
  • %User Temp%\tlmlg2.log

手順 5

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_COREFLOOD.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 6

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_COREFLOOD.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください