解析者: Sabrina Lei Sioting   

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、特定のWebサイトにアクセスし、情報を送受信します。

ワーム マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した ワーム )を削除します。

  詳細

ファイルサイズ 79,872 bytes
タイプ EXE
メモリ常駐 はい
発見日 2012年1月19日
ペイロード URLまたはIPアドレスに接続

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\KB{random numbers}.exe

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

ワームは、以下のファイルを作成します。

  • %User Temp%\POS6.tmp.BAT

(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)

ワームは、以下のフォルダを作成します。

  • %Application Data%\{random folder}

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

ワームは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • Local\E{random numbers}
  • Local\M{random numbers}
  • Local\I{random numbers}
  • Local\R{random numbers}
  • Local\F{random numbers}
  • Local\B{random numbers}
  • Local\S{random numbers}

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
KB{random numbers}.exe = ""%Application Data%\KB{random numbers}.exe""

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media Center\{random1}
{default} = {hex numbers}

ワームは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media Center

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media Center\{random}

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media Center\{random1}

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • {random folder}

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {random folder}\{random file name}.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
open={random folder}\{random file name}.exe
shell\Open\Command={random folder}\{random file name}.exe
shell\Open\Default=1
shell\Explore\Command={random folder}\{random file name}.exe
shell\Autoplay\command={random folder}\{random file name}.exe

バックドア活動

ワームは、以下のWebサイトにアクセスし、情報を送受信します。

  • https://{BLOCKED}.com/T1/
  • https://{BLOCKED}.com/T1/
  • https://{BLOCKED}.com/T1/
  • https://{BLOCKED}.net/T1/

情報漏えい

ワームは、感染したコンピュータ上でInternet Explorer(IE)の使用状況を監視します。ワームは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

  • *.com/K1inessaccess.citiveaccess.citizen
  • *.onlineaccess
  • */Authenticatbank.com*
  • */Authoint.usbank.com*
  • */CASHplusineaccess1.com*
  • */CLKCCM/*treasury.pncbank*
  • */Common/Sice.wellsfargo.co
  • */Common/Signnlineserv/CM*
  • */Common/Sit*
  • */Common/net*
  • */IBWS/*
  • */ebc_ebc1*express.53.com*
  • */ebc_ebc1961press.53.com/expcom*
  • */ibsolbb/*
  • */inets/*
  • */sbuser/*
  • */wirenternet-ebankingm*
  • *CLKCCM*
  • *access.rbsm.cotiabank.com*
  • *anb.portalva
  • *b*business-eb.ibaeaf*
  • *b*servlet/teller*urentry.calbankt
  • *ba*efirstbank.com*
  • *banking.ca/*
  • *banking.calapitalonebank.cocom/K1/*\
  • *banking.calb
  • *banking.calbaitalonebank.com*m/K1/*
  • *banking.firservices.com*
  • *banking.firstteom*
  • *banking.tbank.com*
  • *bankonline.com*
  • *bankonline.sbo*
  • *banwernet.capitalon
  • *bc_ebc1961/*
  • *blilk.com*
  • *bmibank.com*
  • *bmoharri
  • *bmoharrispbnycash.bankofnyn.com*
  • *bmomutualfu
  • *bmomutualfun
  • *bmomutualfundsbusinessbanking./logon*
  • *bnycash.bankoflon.com*
  • *bnycasr.bnymellon.com*on*
  • *bnycger.bnymellon.cognon*
  • *bob.sovere
  • *bolb-eashproonline.bankohewest.com*
  • *bolb-east.roonline.bankofawest.com*
  • *boveda.banam
  • *btowernet.capital
  • *busibbankingforbusinxpress.com*
  • *busieasurydirect.tdbxpress/logon.act
  • *busineibbpowerlink.com
  • *businesing.calbanktrustbank.com*
  • *business.nfundsxpress.com*
  • *businessbankiibc.com*
  • *businessbankinom/logon*
  • *businessclassoshanalyzer.com*
  • *businesse.fundsxpress.co
  • *businessmg.calbanktrust.cnk.com*
  • *businessonlierlink.com*
  • *businesurydirect.tdbanress/logon.actio
  • *buwebbankingforbushexpress.com*
  • *bxs.spx*
  • *cashanalyzecom*
  • *cashanalyzer.m*
  • *cencorpcu.com*
  • *cfgbusincial*
  • *cib.bankof/auth*
  • *cib.bankom/auth*
  • *cibbbt.com/auth*
  • *citibank.citigroizensbank.com*
  • *cl.bbt.com/auth*
  • *cmserver*
  • *comerica.com/bks.com/olb*
  • *commerci*commercialservifxmanager.bankofirect.com*
  • *commercial.w
  • *commercial.wa
  • *commercial.wach
  • *commercialser*ifxmanager.banksdirect.com*
  • *corpACH*
  • *cu.com*s.cunet.org*
  • *cu.conks.cunet.org*
  • *cuylinks.cunet.org
  • *e-moneyger.corentrycorp.amegy
  • *easyweba.banamex.com.mxIBWS/*
  • *easywebcpst.associatedbanedbank.com*
  • *easyweda.banamex.com.*/IBWS/*
  • *ebanking-serves.com*
  • *ebanking-servic.com*
  • *ebc_ebc1961*
  • *ebc_ervices.com*
  • *ecas.arvest.com*
  • *ecash.rvest.com*
  • *efirstbank.com*
  • *enlobal1.onlineban
  • *entebal1.onlinebank.*/sbuser/*
  • *enteral1.onlinebank.c/sbuser/*
  • *enternetb
  • *enternetban*northerntrust.c
  • *epd.uscenasp*
  • *epd.uscentrp*
  • *epd.usnet*
  • *express.53itizens.com*
  • *express.tcitizens.com*
  • *eyger.com*
  • *flickr.com*
  • *globalinkreet.com*
  • *globalistreet.com*
  • *globet.net*
  • *glrnet.net*
  • *hb.exe* aspx*
  • *hbcash.ex
  • *hbcash.exe*
  • *hillsbank.co*
  • *hillsbank.com*
  • *hillsbankbb/*
  • *hillsonalcity.com*
  • *hiltionalcity.com*
  • *homebank.n
  • *hsbc*
  • *ibbpowan.com*
  • *ibbpower.com*
  • *ibbpowerlink.business.jsp*
  • *ibbpowerlink.cosiness.jsp*
  • *iconnect.com*
  • *inetba
  • *inetbank
  • *mbachexmbersunited.org*surer.com*
  • *mbachexpress.nited.org*
  • *metrobankd
  • *metrobankdir
  • *metrobankdir*
  • *metrobankdom*
  • *mybanknshinestatefeder
  • *mybasunshinestatefed
  • *mystreabank.com*
  • *nashvillecint.usbank.com*
  • *nashvillecitt.usbank.com*
  • *nfgbusinessonlinakecitybank.webc
  • *nline.chase.com/*
  • *nortbanker.cc*
  • *northbnker.cc*
  • *northeOn/*
  • *northerntrust
  • *nsbank.com/
  • *nsbank.com//b
  • *ntrs.com*
  • *onlinebanking.bonline.tdbank.coank.com*
  • *onlinebausinessonline.tdapitalbank.com*
  • *onlineserv/-banking*
  • *orporate.org*
  • *otm.sun
  • *passport.tvillecitizensban.com*
  • *paylinks.cune
  • *paypalaspx*
  • *phcp/sank.com*
  • *phcp/senk.com*
  • *phcp/serv.com*
  • *pub/htmk.citigroup.com*nk.com*
  • *pub/html*citigroup.com*
  • *rbs.com/wps/andyspringbank.c/mp*
  • *rbs.com/wps/podyspringbank.comp*
  • *royalbaaccess.rbsm.com/abank.com*
  • *royalbankcess.rbsm.com/loank.com*
  • *s.usbank.com*
  • *sandyspayment.com/mp*
  • *sandytpayment.com/mp*
  • *secure
  • *secure.bancbank.wesbanco.co
  • *secure.banebank.wesbanco.m*
  • *secure.fundsxpolb*
  • *secure2.umb.co*libertymutualbuioonline.metavanom*
  • *secure7.access1.com*
  • *secure7.oncess1.com*
  • *securebaalhartfederal.co
  • *securebankhartfederal.com*
  • *securentry*
  • *sial.wachovia.comhcp/servlet*
  • *solusinessonline.comconstitutioncorp
  • *solutioessonline.com*
  • *solutionssonline.com*
  • *sso.towernet.capital.com/consultnc*
  • *sso.uboc*
  • *sttennessee*
  • *svbc.banksterling.cocom*
  • *svbconnect.crling.com*
  • *svng.banksterling.k.com*
  • *tatedbank.com*
  • *telepc.*
  • *top.capital.com*
  • *top.capitst.com*
  • *torateAccounts*
  • *treasessonline.huntinm*
  • *treasury.portal/*
  • *treasury.wcom*
  • *treasurydir3.com/express/lo.com*
  • *treasuryk.com*
  • *treateAccounts*
  • *treinessonline.huntcom*
  • *trem/wps/portal/cb/bank.com*
  • *trusessclassonline.ccey-ebanking.comm*
  • *trustmsclassonline.comy-ebanking.com*
  • *twitter.
  • *unitedban
  • *unitedbankw
  • *unxe*
  • *usaa.com*
  • *usinessclassonlinalyzer.com*
  • *vectrabank.ingbankconnect.cktx.com/cgi-bin/inkweb.com*
  • *vectrabanpringbankconnectanktx.com/cgi-biylinkweb.com*
  • *webbankin
  • *wellsoffiualfunds.com*
  • *wellsofutualfunds.com*
  • *wellsomutualfunds.comnessbanking.cibc*
  • *westfieldcure-eccu.org*
  • *westfiesecure-eccu.org*
  • *wsclassonline.comr.com*
  • *y.statestreet.cotfolio*
  • .1stsource.com*
  • .com/K1/*essaccess.citibaaccess.citizensb
  • .fsbnm.com*
  • .fsbperkasie.com
  • access.ine.scotiabank.cank.com*
  • anking.firsttenn*
  • bank.com*
  • banking.cibc.com
  • banking.com*
  • bcashmgmt.com*
  • bk.inetbanker.co
  • blilk.comom*
  • bperkasie.com*
  • businessonline.hnager.com*
  • capitalonebank.cultnc*
  • centerprisebank.
  • comerica.com/bus.com/olb*
  • corp.amegybank.cnlineserv/CM*
  • direct.com*
  • easury.pncbank.c
  • ebanking.com*
  • encorpcu.com*
  • er.usbank.com*
  • erkasie.com*
  • essclassonline.czer.com*
  • etrobankdirect.c
  • fbconnect.com*
  • ficenterprisebanm*
  • harrisprivatebanankofny.com*
  • hutch.com*
  • ibanking-service
  • ierview.membersuzuhoe-treasurer.
  • itutioncorp.org*
  • l.mibank.com*
  • l.selectpayment.
  • moharrisprivateb.bankofny.com*
  • mycorporatecure.fnbhutch.cmoneyger*
  • neymanagergps.co
  • nlinebanking.banline.tdbank.com*k.com*
  • nlinencr.com*
  • oneyger.com*
  • onlinencr.k.com*
  • paylinks.cunet.o
  • rcial.wachovia.c*phcp/servlet*
  • robankdirect.com
  • rp.amegybank.comineserv/CM*
  • rview.membersunihoe-treasurer.co
  • s.citibank.citigitizensbank.com
  • s.com*
  • secure2.umb.com*ibertymutualbusionline.metavante*
  • servlet/telleecurentry.calban
  • sh.fsbnm.com*
  • sinessonline.hunger.com*
  • solutions.html*
  • ssbanking.cibc.c!
  • stitutioncorp.or
  • stsource.com*
  • t.capitalonebanknsultnc*
  • tsbk.inetbanker.
  • webcashmgmt.com*bank.com*
  • wtdirect.com*
  • ycorporate.org*
  • nbhutch.com*
  • ylinks.cunet.orgbankonline.sboff
  • ymanagergps.com*

その他

ワーム は、自身(コンピュータに侵入して最初に自身のコピーを作成した ワーム )を削除します。

  対応方法

対応検索エンジン: 9.200
VSAPI OPR パターンバージョン 8.721.00
VSAPI OPR パターンリリース日 2012年1月19日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 
  • In HKEY_CURRENT_USER\Software\Microsoft
    • Windows Media Center

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • KB{random numbers}.exe = ""%Application Data%\KB{random numbers}.exe""
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • GlobalUserOffline = 0

手順 5

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 %Application Data%\{random folder}
{drive letter}\{random folder}

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 %User Temp%\POS6.tmp.BAT

手順 7

「WORM_CRIDEX.AR」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。

[ 詳細 ]
[autorun]
open={random folder}\{random file name}.exe
shell\Open\Command={random folder}\{random file name}.exe
shell\Open\Default=1
shell\Explore\Command={random folder}\{random file name}.exe
shell\Autoplay\command={random folder}\{random file name}.exe

手順 8

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_CRIDEX.AR」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください