WORM_PUSHBOT.IC
Worm:Win32/Pushbot (Microsoft)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、レジストリ値を変更し、Windowsのファイアウォールを無効にします。これにより、ワームは、自身を検出されることなく不正活動を実行することが可能になります。
ワームは、特定のWebサイトにアクセスし、情報を送受信します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Windows%\aadrive32.exe
(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
Microsoft Driver Setup = "%Windows%\aadrive32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Microsoft Driver Setup = "%Windows%\aadrive32.exe"
他のシステム変更
ワームは、以下のレジストリ値を変更し、Windowsのファイアウォールを無効にします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0
(註:変更前の上記レジストリ値は、「1」となります。)
バックドア活動
ワームは、以下のWebサイトにアクセスし、情報を送受信します。
- {BLOCKED}aa.ishtiben.com
プロセスの終了
ワームは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- 123.COM
- 123.EXE
- 360HOTFIX.EXE
- 360RPT.EXE
- 360SAFE.EXE
- 360TRAY.EXE
- A2GUARD.EXE
- A2HIJACKFREE.EXE
- A2HIJACKFREESETUP.EXE
- A2SCAN.EXE
- A2SERVICE.EXE
- A2START.EXE
- ABREGMON.EXE
- ACAAS.EXE
- ACAEGMGR.EXE
- ACAIS.EXE
- ACALS.EXE
- ACS.EXE
- AFMAIN.EXE
- AHNSDSV.EXE
- ALERTMAN.EXE
- ALMON.EXE
- ALSVC.EXE
- APM.EXE
- APORTS.EXE
- APT.EXE
- APVXDWIN.EXE
- ARCABIT.CORE.CONFIGURATOR2.EXE
- ARCABIT.CORE.LOGGINGSERVICE.EXE
- ARCACHECK.EXE
- ARCAVIR.EXE
- ASHDISP.EXE
- ASHMAISV.EXE
- ASHSERV.EXE
- ASHWEBSV.EXE
- ASVIEWER.EXE
- ASWCLNR.EXE
- ASWUPDSV.EXE
- ATF-CLEANER.EXE
- AUTORUNS.EXE
- AVCENTER.EXE
- AVENGER.EXE
- AVENGINE.EXE
- AVGAMSVR.EXE
- AVGARKT.EXE
- AVGAS.EXE
- AVGEMC.EXE
- AVGNT.EXE
- AVGSCANX.EXE
- AVGUARD.EXE
- AVGUI.EXE
- AVGUPD.EXE
- AVGUPSVC.EXE
- AVGWDSVC.EXE
- AVINSTALL.EXE
- AVIRARKD.EXE
- AVKPROXY.EXE
- AVKSERVICE.EXE
- AVKTRAY.EXE
- AVKTUNERSERVICE.EXE
- AVKWCTL.EXE
- AVMENU.EXE
- AVZ.EXE
- AYAGENT.AYE
- AYSERVICENT.AYE
- BC5CA6A.EXE
- BDAGENT.EXE
- BDSS.EXE
- BOOTSAFE.EXE
- BOXMOD.EXE
- BUSCAREG.EXE
- CAFW.EXE
- CAGLOBALLIGHT.EXE
- CAPFASEM.EXE
- CAPFUPGRADE.EXE
- CATCHME.EXE
- CATEYE.EXE
- CAVASM.EXE
- CCENTER.EXE
- CCLEANER.EXE
- CCPROVSP.EXE
- CCSETUP210.EXE
- CCTRAY.EXE
- CF9409.EXE
- CFGMNG32.EXE
- CLAMTRAY.EXE
- CLAMWIN.EXE
- CMAIN.EXE
- CMDAGENT.EXE
- COMBOFIX.BAT
- COMBOFIX.COM
- COMBOFIX.EXE
- COMBOFIX.SCR
- COMMAND.COM
- COMPAQ_PROPIETARIO.EXE
- CPF.EXE
- CPORTS.EXE
- CPROCESS.EXE
- CUREIT.EXE
- DAFT.EXE
- DARKSPY105.EXE
- DEFWATCH.EXE
- DELAYDELFILE.EXE
- DLLCOMPARE.EXE
- DRWEB32W.EXE
- DRWEBSCD.EXE
- DUBATOOL_AV_KILLER.EXE
- ELISTA.EXE
- EMLPROUI.EXE
- EMLPROXY.EXE
- EULALYZERSETUP.EXE
- F-PROT.EXE
- F-PROT95.EXE
- F-STOPW.EXE
- FAMEH32.EXE
- FAST.EXE
- FCH32.EXE
- FIH32.EXE
- FILEALYZ.EXE
- FILEFIND.EXE
- FILELOCKSETUP.EXE
- FILEMONSV.EXE
- FIXBAGLE.EXE
- FIXPATH.EXE
- FNRB32.EXE
- FOLDERCURE.EXE
- FP-WIN.EXE
- FPAVSERVER.EXE
- FPORT.EXE
- FPROT.EXE
- FPROTTRAY.EXE
- FPWIN.EXE
- FSAA.EXE
- FSAUA.EXE
- FSAV.EXE
- FSAV32.EXE
- FSAV530STBYB.EXE
- FSAV530WTBYB.EXE
- FSAV95.EXE
- FSB.EXE
- FSBL.EXE
- FSDFWD.EXE
- FSGK32.EXE
- FSGK32ST.EXE
- FSM32.EXE
- FSMA32.EXE
- FSMB32.EXE
- GDFIREWALLTRAY.EXE
- GDFIRE~1.EXE
- GDFWSVC.EXE
- GMER.EXE
- GUARD.EXE
- GUARDXKICKOFF.EXE
- GUARDXSERVICE.EXE
- HACKMON.EXE
- HELIOS.EXE
- HFACSVC.EXE
- HIJACK-THIS.EXE
- HIJACKTHIS.EXE
- HIJACKTHIS_SFX.EXE
- HIJACKTHIS_V2.EXE
- HJ.EXE
- HJTINSTALL.EXE
- HJTSETUP.EXE
- HOOKANLZ.EXE
- HOSTSFILEREADER.EXE
- HOSTSXPERT.EXE
- HPCSVC.EXE
- HSVCMOD.EXE
- ICESWORD.EXE
- IEFIX.EXE
- INICIO.EXE
- INSTALLWATCHPRO25.EXE
- ISSDM_EN_32.EXE
- ITMRTSVC.EXE
- JAJA.EXE
- K7EMLPXY.EXE
- K7FWSRVC.EXE
- K7PSSRVC.EXE
- K7RTSCAN.EXE
- K7SPMSRC.EXE
- K7SYSTRY.EXE
- K7TSECURITY.EXE
- K7TSMNGR.EXE
- K7TS_SETUP.EXE
- KAKASETUPV6.EXE
- KASMAIN.EXE
- KAV.EXE
- KAV32.EXE
- KAVPFW.EXE
- KAVSTART.EXE
- KAVSVC.EXE
- KILLAUTOPLUS.EXE
- KILLBOX.EXE
- KISSVC.EXE
- KPFW32.EXE
- KPFWSVC.EXE
- KVMONXP.KXP
- KVOL.EXE
- KVSRVXP.EXE
- KVXP.KXP
- KWATCH.EXE
- LISTO.EXE
- LIVESRV.EXE
- LORDPE.EXE
- MAKEREPORT.EXE
- MBAM-SETUP.EXE
- MBAM.EXE
- MCAGENT.EXE
- MCSHIELD.EXE
- MCUPDATE.EXE
- MCVSRTE.EXE
- MCVSSHLD.EXE
- MDMCLS32.EXE
- MKSADMINCONSOLE.EXE
- MKSFWALL.EXE
- MKSPC.EXE
- MKSREGMON.EXE
- MKSTRAY.EXE
- MKSUPDATE.EXE
- MKSVIRMONSVC.EXE
- MKS_MAIL.EXE
- MKS_SCAN.EXE
- MMC.EXE
- MRT.EXE
- MRTSTUB.EXE
- MSASCUI.EXE
- MSMPENG.EXE
- MSNCLEANER.EXE
- MSNFIX.EXE
- MYPHOTOKILLER.EXE
- NAVQSCAN.EXE
- NETALYZ.EXE
- NETMONSV.EXE
- NETSTAT.EXE
- NMAIN.EXE
- NOD32.EXE
- NOD32CC.EXE
- NOD32KRN.EXE
- NOD32KUI.EXE
- NOD32M2.EXE
- NPCGREENAGENT.NPC
- NSAVSVC.NPC
- NSPMAIN.EXE
- NSPSVC.EXE
- NSPUPDT.EXE
- NSPUPSVC.EXE
- NSUTILITY.EXE
- NSVMON.NPC
- NTVDM.EXE
- OBJMONSETUP.EXE
- OLLYDBG.EXE
- ONLINENT.EXE
- ONLNSVC.EXE
- OP_MON.EXE
- OTMOVEIT.EXE
- OTMOVEIT3.EXE
- P08PROMO.EXE
- PAVARK.EXE
- PAVBCKPT.EXE
- PAVFNSVR.EXE
- PAVPRSRV.EXE
- PAVSRV51.EXE
- PCTAV.EXE
- PCTAVSVC.EXE
- PCTSAUXS.EXE
- PCTSGUI.EXE
- PCTSSVC.EXE
- PCTSTRAY.EXE
- PENCLEAN.EXE
- PG2.EXE
- PGSETUP.EXE
- PORTDETECTIVE.EXE
- PORTMONITOR.EXE
- PPCLTPRIV.EXE
- PROCDUMP.EXE
- PROCESSMONITOR.EXE
- PROCEXP.EXE
- PROCMON.EXE
- PROJECTWHOISINSTALLER.EXE
- PSCTRLS.EXE
- PSHOST.EXE
- PSIMSVC.EXE
- PSKILL.EXE
- PSKMSSVC.EXE
- PUSCAN.EXE
- PXAGENT.EXE
- PXCONSOLE.EXE
- QHFW332.EXE
- QOELOADER.EXE
- QUHLPSVC.EXE
- RAV.EXE
- RAVLITE.EXE
- RAVMOND.EXE
- RAVP.EXE
- RAVTASK.EXE
- REANIMATOR.EXE
- REG.EXE
- REGALYZ.EXE
- REGCOOL.EXE
- REGEDIT.COM
- REGEDIT.EXE
- REGEDIT.SCR
- REGISTRAR_LITE.EXE
- REGMON.EXE
- REGSCANNER.EXE
- REGSHOT.EXE
- REGUNLOCKER.EXE
- REGX2.EXE
- RKD.EXE
- ROOTALYZER.EXE
- ROOTKITBUSTER.EXE
- ROOTKITNO.EXE
- ROOTKITREVEALER.EXE
- ROOTKIT_DETECTIVE.EXE
- RTVSCAN.EXE
- SAFEBOOTKEYREPAIR.EXE
- SAVADMINSERVICE.EXE
- SAVSERVICE.EXE
- SBAMSVC.EXE
- SBAMTRAY.EXE
- SBAMUI.EXE
- SCANMSG.EXE
- SCANWSCS.EXE
- SCFMANAGER.EXE
- SCFSERVICE.EXE
- SCHED.EXE
- SDFIX.EXE
- SEEM.EXE
- SENSOR.EXE
- SFCTLCOM.EXE
- SPF.EXE
- SPIDERML.EXE
- SPIDERNT.EXE
- SPIDERUI.EXE
- SPYBOTSD.EXE
- SPYBOTSD160.EXE
- SRENGLDR.EXE
- SRENGPS.EXE
- SRESTORE.EXE
- SRVLOAD.EXE
- STARTDRECK.EXE
- STRTSVC.EXE
- SUPERANTISPYWARE.EXE
- SUPERKILLER.EXE
- SVCPRS32.EXE
- SYSANALYZER_SETUP.EXE
- TASKKILL.EXE
- TASKLIST.EXE
- TASKMAN.EXE
- TASKMON.EXE
- TASKSCHEDULER.EXE
- TCPVIEW.EXE
- TEATIMER.EXE
- TISSPWIZ.EXE
- TMBMSRV.EXE
- TMPFW.EXE
- TMPROXY.EXE
- TNBUTIL.EXE
- TPSRV.EXE
- TSCFCOMMANDER.EXE
- TSNTEVAL.EXE
- TrendMicro_TISPro_16.1_1063_x32.EXE
- UFNAVI.EXE
- UFSEAGNT.EXE
- UISCAN.EXE
- ULIBCFG.EXE
- UMXAGENT.EXE
- UMXCFG.EXE
- UMXFWHLP.EXE
- UMXPOL.EXE
- UNHACKME.EXE
- UNIEXTRACT.EXE
- UNLOCKER1.8.7.EXE
- UPDATE.EXE
- UPSCHD.EXE
- VBA32-PERSONAL-LATEST-ENGLISH.EXE
- VBA32ADS.EXE
- VBA32LDR.EXE
- VIPRE.EXE
- VIRUS.EXE
- VIRUSUTILITIES.EXE
- VRFWSVC.EXE
- VRMONNT.EXE
- VRMONSVC.EXE
- VSMON.EXE
- VSSERV.EXE
- WEBPROXY.EXE
- WINDOWS-KB890930-V2.2.EXE
- WIRESHARK.EXE
- WITSETUP.EXE
- XCOMMSVR.EXE
- XP_TASKMGRENAB.EXE
- ZLCLIENT.EXE
その他
ワームは、以下の不正なWebサイトにアクセスします。
- http://pppppppppppppppppppp.{BLOCKED}m.us/cgi-bin/p.cgi
- http://pppppppppppppppppppppppppp.{BLOCKED}m.us/cgi-bin/p.cgi
- http://pppppppppppp.p.{BLOCKED}m.us/cgi-bin/p.cgi
- http://pppppppppppp.{BLOCKED}m.us/cgi-bin/p.cgi
- http://{BLOCKED}tegpppp.r7m.us/cgi-bin/p.cgi
- http://{BLOCKED}tok2pcomphomepaqupp.r7m.us/cgi-bin/p.cgi
- http://1p.{BLOCKED}m.us/cgi-bin/p.cgi
- http://ppppnipponp.{BLOCKED}m.us/cgi-bin/p.cgi
- http://{BLOCKED}p.r7m.us/cgi-bin/p.cgi
ただし、情報公開日現在、このWebサイトにはアクセスできません。
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「WORM_PUSHBOT.IC」で検出したファイル名を確認し、そのファイルを終了します。
- 検出ファイルが、Windows のタスクマネージャまたは Process Explorer に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
- Microsoft Driver Setup = %Windows%\aadrive32.exe
- Microsoft Driver Setup = %Windows%\aadrive32.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Microsoft Driver Setup = %Windows%\aadrive32.exe
- Microsoft Driver Setup = %Windows%\aadrive32.exe
手順 4
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- From: EnableFirewall = 0
To: EnableFirewall = 1
- From: EnableFirewall = 0
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_PUSHBOT.IC」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください