解析者: Cris Nowell Pantanilla   

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード, インスタントメッセンジャ(IM)を介した感染活動

トレンドマイクロは、このワームをNoteworthy(要注意)に分類しました。

ワームは、ユーザのオンライン認証やアカウントを侵害する可能性がある情報を収集をします。また、ワームは、Skypeのメッセージを利用して、「身代金要求型マルウェア(ランサムウェア)」や情報収集型マルウェア、自身のコピーの更新版を含むさまざまな脅威を拡散します。これにより、さらなるマルウェアへの感染が、ユーザ自身および他のユーザへもたらされることとなります。

ワームは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

  詳細

ファイルサイズ 24,064 bytes
タイプ EXE
メモリ常駐 はい
発見日 2012年10月8日
ペイロード メッセージの送信

侵入方法

ワームは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

  • WORM_DORKBOT.DN

ワームは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

  • http://{BLOCKED}e.com/dl/175341483/21ee863/h3480f.html

その他

ワームが実行されると、以下のプロセスがコンピュータ上で実行している場合、これらのプロセスを検索します。

  • msnmsgr.exe
  • msmsgs.exe
  • skype.exe

ワームは、ユーザの連絡先へメッセージを送信するコンポーネントとして利用されます。メッセージは、他のマルウェアのコピーをダウンロードする短縮URLを含んでいます。

  • http://<省略>o.<省略>l/<生成されたコード>?<変数>=<コンタクト名>

「<変数>」は、以下のいずれかとなります。

  • img
  • profile

「<コンタクト名>」は、メッセージ受信者の名前です。

この短縮URLがクリックされると、以下のURLへ誘導します。

  • http://<省略>e.com/dl/175339084/d951071/skype_08102012_image.zip.html

Skype経由で送信されるメッセージは以下のとおりです。

  • <メッセージ> http://goo.gl<ランダム>?img=<コンタクト名>
  • <メッセージ> http://goo.gl<ランダム>?profile=<コンタクト名>

「<メッセージ>」は、その地域に応じて、以下のいずれかのメッセージが入ります。

lol is this your new profile pic
hej to jest twój nowy obraz profil?
eínai aftí i néa fotografía profíl sas?
это новый аватар вашего профиля?))
سؤال هي صورتك ؟
moin, kaum zu glauben was für schöne fotos von dir auf deinem profil
hej er det din nye profil billede?
hej je to vasa nova slika profila
hey is dit je nieuwe profielfoto?
hei zhè shì ni de gèrén ziliào zhàopiàn ma?
tung, cka paske lyp ti nket fotografi?
hey c'est votre nouvelle photo de profil?
hey é essa sua foto de perfil? rsrsrsrsrsrsrs
¿hey esta es tu nueva foto de perfil?
ni phaph porfil khxng khun?
hej detta är din nya profilbild?
hey è la tua immagine del profilo nuovo?

  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 9.448.05
初回 VSAPI パターンリリース日 2012年10月8日
VSAPI OPR パターンバージョン 9.449.00
VSAPI OPR パターンリリース日 2012年10月9日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「WORM_DORKBOT.IF」 を作成またはダウンロードする不正なファイルを削除します。

手順 3

「WORM_DORKBOT.IF」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_DORKBOT.IF」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください

関連マルウェア