WORM_OTORUN.DD

2012年10月9日

解析者: Sabrina Lei Sioting

プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい

概要

感染経路リムーバブルドライブを介した感染活動, インターネットからのダウンロード, 他のマルウェアからの作成

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。ワームは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

ワームは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

ワームマルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したワーム）を削除します。

詳細

ファイルサイズ 81,920 bytes

タイプ EXE

メモリ常駐はい

発見日 2012年5月15日

ペイロードシステムセキュリティへの感染活動, URLまたはIPアドレスに接続, 情報収集

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

TROJ_PIDIEF.SMB1

ワームは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

http://{BLOCKED}b.net/w.php?f=6dfda&e=2
http://{BLOCKED}b.net/w.php?f=6dfda&e=3

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%Application Data%\KB{random numbers}.exe

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

ワームは、以下のフォルダを作成します。

%Application Data%\{random folder}

ワームは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

Local\M{random numbers}
Local\I{random numbers}

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
KB{random numbers}.exe = ""%Application Data%\KB{random numbers}.exe""

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media Center\{random1}
{default} = {hex numbers}

ワームは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media Center

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media Center\{random}

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media Center\{random1}

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

{random folder}

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

{random folder}\{random file name}.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
open={random folder}\{random file name}.exe
shell\Open\Command={random folder}\{random file name}.exe
shell\Open\Default=1
shell\Explore\Command={random folder}\{random file name}.exe
shell\Autoplay\command={random folder}\{random file name}.exe

バックドア活動

ワームは、不正リモートユーザからの以下のコマンドを実行します。

Download and execute other files
Monitor cookies
Steal login credentials
Update itself
Upload collected certificates and credentials

ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

https://{BLOCKED}iiiiooii2iio1oi.ru/mev/in/
https://{BLOCKED}hnbdaklsjsad.ru/mev/in/
https://{BLOCKED}azonsjdnjhffaaaae38.ru/mev/in/
https://{BLOCKED}jsnd784982ncbmvbjh434554b3.ru/mev/in/

情報漏えい

ワームは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。ワームは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

*.associatedbank.com*
*.com/K1/*
*.onlineaccess1.com*
*/Authentication/zbf/k*
*/Authentication/zbf/k/*
*/BB/LOGON/*
*/CASHplus/*
*/CLKCCM/*
*/Common/SignOn/*
*/Common/SignOn/Start.asp*
*/IBWS/*
*/ach/*
*/cashman/*
*/cmserver/*
*/ebc_ebc1961/*
*/ibs.*
*/inets/*
*/jscripts/cssmain_lite.js*
*/livewire/*
*/netbnx/*
*/olbb/*
*/sbuser/*
*/webcm/*
*/wire/*
*/wires/*
*1stunitedbankfl*
*BusinessAppsHome*
*CLKCCM*
*CorporateAccounts*
*Pres_WA_Wires*
*RBS_Commercial*
*ablv.com*
*acbtz.com*
*access.jpmorgan.com*
*access.rbsm.com/logon*
*access.usbank.com*
*accessbankplc.com*
*achieveaccess.citizensbank.com*
*achworks.com*
*ajaxjsonlibs/jquery-json-min.js*
*alphabank.com.cy*
*ameritrade.com*
*anb.portalvault.com*
*auth.umb.com*
*authmaster.nationalcity.com*
*authmaster.nationalcity.com/tmgmt*
*azaniabank.co.tz*
*baltikums.com*
*baltikums.eu*
*banesco.com.pa*
*bankaustria.at*
*bankbyweb*
*banking.calbanktrust.com*
*banking.firsttennessee.biz*
*bankm.co.tz*
*banknet.lv*
*bankofamerica.com*
*bankofamerica.com/cgi-bin/*GotoWelcome*
*bankofbermuda.com*
*bankofcyprus.com*
*bankonline.sboff.com*
*bankonline.umpquabank.com*
*bbo.1stsource.com*
*bib.lv*
*billmelater.com*
*bizcurrency.com*
*blilk*
*blilk.com*
*blogger.com*
*bmoharrisprivatebankingonline.com*
*bmomutualfunds.com*
*bnycash.bankofny.com*
*bob.sovereignbank.com*
*bobibanking.com*
*bolb-east.associatedbank.com*
*bolb-west.associatedbank.com*
*boveda.banamex.com.mx*
*bscincky.com*
*business.macu.com*
*business.netbankerplus.com*
*business_solutions*
*businessaccess.citibank.citigroup.com*
*businessbanking.cibc.com*
*businessclassonline.compassbank.com*
*businesslogin*
*businesslogins.asp*
*businessmanager.com*
*businessmanager.com/signon*
*businessonline.huntington.com*
*businessonline.tdbank.com*
*businessportal.mibank.com*
*butterfieldonline.ky*
*bxs.com*
*cashanalyzer.com*
*cashman*
*cashman.arvest.com*
*cashmanager.mizuhoe-treasurer.com*
*cashplus*
*cashproonline.bankofamerica.com*
*cbbusinessonline.com*
*cbs.firstcitizens.com*
*cencorpcu.com*
*cfgbusinessaccess.com*
*chase.com*
*checkgateway*
*cib.bankofthewest.com*
*cibconline.cibc.com*
*cimbanque.net*
*cmol.bbt.com/auth*
*cmserver*
*cnbsec1.*
*comerica.com*
*comerica.com/businessconnect/*
*commercebusinessdirect.com*
*commercial.wachovia.com*
*commercialservices*
*commercialservices.mandtbank.com*
*constitutioncorp.org*
*corpACH*
*corporate.epfc.com*
*corporatebankingweb*
*createCorpWire*
*createWire*
*cs.directnet.com*
*cu.com*
*cu.org*
*danskebanka.lv*
*directline4biz.com*
*directnet.com*
*dtbafrica.com*
*e-moneyger*
*e-moneyger.com*
*e-norvik.lv*
*easywebcpo.td.com/waw/idp*
*ebank.laiki.com*
*ebank.rcbcy.com*
*ebanking-services.com*
*ebc_ebc1961*
*ebemo.bemobank.com*
*ebill.highmark.com*
*ecash.*
*ecash.fsbnm.com*
*ecash.mbvtonline.com*
*efirstbank.com*
*ekp.lv*
*enternetbank.com*
*enterprise2.openbank.com*
*epd.uscentral.org*
*etrade.com*
*eurobankefg.com*
*eurobankefg.com.cy*
*exness.com*
*express.53.com*
*express.53.com/express/*
*express.53.com/express/logon.action*
*facebook.com*
*fbmedirect.com*
*ffinonline.com*
*firstbanks.com*
*firstbanks.com/olb*
*flickr.com*
*fnfgbusinessonline.enterprisebanker.com*
*geonline.lv*
*global-ebanking.com*
*global1.onlinebank.com*
*globalink.leumiusa.com*
*goldleaf*
*habibbank*
*handelsbanken.lv*
*hbcash.exe*
*hblibank.com*
*hbproxy.exe*
*hellenicnetbanking.com*
*hillsbank.com*
*hiponet.lv*
*hkbea*
*hsbc.co.uk*
*hsbc.com.mx*
*i-linija.lt*
*ib.baltikums.com*
*ib.dnb.lv*
*ib.snoras.com*
*ibanka.seb.lv*
*ibanking-services.com*
*ibbpowerlink.com*
*ibbusinessnet.com*
*ibs.secure-banking*
*ibs5.secure-banking*
*ifxmanager.bankofny.com*
*ifxmanager.bnymellon.com*
*inetbanker*
*internet-ebanking.com*
*internetbanker.cc*
*itinternet.net*
*itreasury.amsouth.com*
*lakecitybank.webcashmgmt.com*
*lakelandbank.com*
*lasallebank.com/business_solutions.html*
*libertymutualbusinessdirect.com*
*lionbank.com*
*livejournal.com*
*login_business.asp*
*loyalbank.com*
*lv.unicreditbanking.net*
*marfinbank.com.cy*
*mbachexpress.com*
*mcb-home.com/online*
*merchantsbk.inetbanker.com*
*metrobankdirect.com*
*metrobankdirect.com/corp_login_page.asp*
*midatlanticcorp.org*
*moneymanagergps.com*
*multinetbank.eu*
*my.statestreet.com*
*mybankfirstunited.wblnk.com*
*mycorporate.org*
*nab.com.au*
*nashvillecitizensbank.com*
*nationalcity.com/consultnc*
*nbarizona.com/login_business.jsp*
*ncms-inc.com*
*netteller*
*nfbconnect.com*
*nordea.com*
*northbaybancorp.com*
*northerntrust.com*
*norvik.lv*
*nsbank.com*
*nsbank.com//biz*
*nsbank.com/biz*
*ntrs.com*
*nubi*
*online-offshore.lloydstsb.com*
*online.1stnb.com*
*online.alphabank.com.cy*
*online.citadele.lv*
*online.citibank.com/*
*online.dollarbank.com*
*online.ibl.com.lb*
*online.lkb.lv*
*online.ovcb.com*
*online.usb.com.cy*
*online.wilberbank.com*
*onlineaccess1.com*
*onlinebank.wesbanco.com*
*onlinebanker*
*onlinebanker.usbank.com*
*onlinebanking.banksterling.com*
*onlinencr.com*
*onlineserv/CM*
*otm.suntrust.com*
*pacificenterprisebank.com*
*parex.lv*
*passport.texascapitalbank.com*
*pastabanka.lv*
*paylinks.cunet.org*
*paypal.com*
*phcp/servlet*
*piraeusbank.com*
*pnc.com*
*portfolioonline.metavante.com*
*premierview.membersunited.org*
*privatbank.lv*
*pub/html*
*rbs.com/wps/portal/*
*rbs.com/wps/portal/cb/applications*
*rbscoutts.com*
*rbsidigital.com*
*rbsiibanking.com*
*rbsm.com*
*rbworld.lv*
*rcbcy.com*
*rietumu.lv*
*royalbank.com/cgi-bin/rbaccess*
*s2b.*
*s2b.standardchartered.com*
*sampopank*
*sampopank.ee*
*sandyspringbank.com*
*santander.co.uk*
*schwab.com*
*scotiaconnect.scotiabank.com*
*scotiaonline.scotiabank.com*
*scottvalleybank.com*
*seb.ee*
*seb.lt*
*seb.lv*
*secure-eccu.org*
*secure.1stfedbank.com*
*secure.ally.com*
*secure.bancinternetgroup.com*
*secure.currency.lloydstsb-offshore.com*
*secure.dalhartfederal.com*
*secure.fnbhutch.com*
*secure.fsbperkasie.com*
*secure.fundsxpress.com*
*secure.ltbbank.com*
*secure.ltblv.com*
*secure2.umb.com*
*secure7.onlineaccess1.com*
*securebanking.cbtks.com*
*securentry*
*securentry.calbanktrust.com*
*securentrycorp.amegybank.com*
*secureport.texascapitalbank.com*
*server14.cey-ebanking.com*
*servlet/teller*
*singlepoint.usbank.com*
*site-secure.com/TekPortfolio*
*snoras.com*
*solutions-corporate.com*
*springbankconnect.com/views/login/*
*ssl.selectpayment.com/mp*
*sso.uboc*
*sso.uboc.com*
*sso.unionbank.com*
*statebanktx.com/cgi-bin/prosperity.asp*
*suncorpbank.com.au*
*sunshinestatefederal.wblnk.com*
*suntrust.com*
*svbconnect*
*svbconnect.com*
*swedbank.lv*
*tbb.ee*
*tdbank.com*
*tdcommercialbanking*
*telepc.net*
*top.capitalonebank.com*
*towernet.capitalonebank.com*
*trast.net*
*trastnet.tkb.com.cy*
*treas-mgt.frostbank.com*
*treasury.pncbank.com*
*treasury.wamu.com*
*treasurydirect.tdbank.com*
*treasurylinkweb.com*
*treasurypathways.com*
*trustmark.openbank.com*
*trustweb.com*
*trz.tranzact.org*
*twitter.com*
*ub.lt*
*ubs.com*
*unitedbankwi.com*
*us.hsbc.com*
*usgateway2.rbs.com*
*valartis.at*
*valartis.li*
*vectrabank.com/busi_bank_00.jsp*
*vpbank.com*
*vpn1.*
*wblnk.com*
*wbsavings.wblnk.com*
*wcmfd/wcmpw*
*web.accessor.com*
*webbankingforbusiness.mandtbank.com*
*webcash*
*webcashmgmt.com*
*webexpress*
*webinfocus.mandtbank.com*
*weblink.websterbank.com*
*wellsfargo.com*
*wellsoffice.wellsfargo.com*
*westernbankcash.com*
*westernetbank.com*
*westfield.accounts-in-view.com*
*wtdirect.com*
*www.amegybank.com/*
*www8.comerica.com*

その他

ワームは、自身（コンピュータに侵入して最初に自身のコピーを作成したワーム）を削除します。

対応方法

対応検索エンジン: 9.200

初回 VSAPI パターンバージョン 9.108.03

初回 VSAPI パターンリリース日 2012年5月15日

VSAPI OPR パターンバージョン 9.109.00

VSAPI OPR パターンリリース日 2012年5月15日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「WORM_OTORUN.DD」を作成またはダウンロードする不正なファイルを削除します。

TROJ_PIDIEF.SMB1

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft
- Windows Media Center

手順 5

このレジストリ値を削除します。

[ 詳細 ]

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- KB{random numbers}.exe = ""%Application Data%\KB{random numbers}.exe""
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- GlobalUserOffline = 0

手順 6

以下のフォルダを検索し削除します。

[ 詳細 ]

フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 %Application Data%\{random folder}

{drive letter}\{random folder}

手順 7

「WORM_OTORUN.DD」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。

[ 詳細 ]

手順 8

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「WORM_OTORUN.DD」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください

WORM_OTORUN.DD

概要

詳細

対応方法

関連マルウェア

リソース

サポート

会社概要

東京本社

WORM_OTORUN.DD

概要

詳細

対応方法

関連マルウェア

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa