WORM_SDBOT.MAL
Backdoor:Win32/IRCbot.gen!K (Microsoft), W32.IRCBot.Gen (Symantec), W32/IRCBot.BAJ!tr.bdr (Fortinet), Generic.Sdbot.17D0BE32 (BitDefender)
Windows
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Windows%\system\slass.exe
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- rtkjhi4568h96894H3G8H38958934hy9t3h498hy548hgmnhnf,ggsdfg4ww3333...
自動実行方法
ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netmanlr
ObjectName = LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netmanlr
Description = "Manage Local and Remote Network Connections Services. If this service is stopped, protected content might not be down loaded to the device."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netmanlr
ImagePath = "%Windows%\system\slass.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netmanlr
DisplayName = Network Connections Manage
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netmanlr
Start = "2"
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Shell Extensions
systemxstuff = "{Malware path}\{Malware name}.exe"
他のシステム変更
ワームは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "2"
感染活動
ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- {Removable drive letter except A and B}:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {Removable drive letter except A and B}:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe
ワームは、以下のユーザ名およびパスワードを用いて、パスワード保護された共有フォルダにアクセスします。
- "administrator"
- "administrador"
- "administrateur"
- "administrat"
- "admins"
- "admin"
- "adm"
- "password1"
- "password"
- "passwd"
- "pass1234"
- "pass"
- "pwd"
- "007"
- "12"
- "123"
- "1234"
- "12345"
- "123456"
- "1234567"
- "12345678"
- "123456789"
- "1234567890"
- "2000"
- "2001"
- "2002"
- "2003"
- "2004"
- "test"
- "guest"
- "none"
- "demo"
- "unix"
- "linux"
- "changeme"
- "default"
- "system"
- "server"
- "root"
- "null"
- "qwerty"
- "mail"
- "outlook"
- "web"
- "www"
- "internet"
- "accounts"
- "accounting"
- "home"
- "homeuser"
- "user"
- "oem"
- "oemuser"
- "oeminstall"
- "windows"
- "win98"
- "win2k"
- "winxp"
- "winnt"
- "win2000"
- "qaz"
- "asd"
- "zxc"
- "qwe"
- "bob"
- "jen"
- "joe"
- "fred"
- "bill"
- "mike"
- "john"
- "peter"
- "luke"
- "sam"
- "sue"
- "susan"
- "peter"
- "brian"
- "lee"
- "neil"
- "ian"
- "chris"
- "eric"
- "george"
- "kate"
- "bob"
- "katie"
- "mary"
- "login"
- "loginpass"
- "technical"
- "backup"
- "exchange"
- "fuck"
- "bitch"
- "slut"
- "sex"
- "god"
- "hell"
- "hello"
- "domain"
- "domainpass"
- "domainpassword"
- "database"
- "access"
- "dbpass"
- "dbpassword"
- "databasepass"
- "data"
- "databasepassword"
- "db1"
- "db2"
- "db1234"
- "sa"
- "sql"
- "sqlpassoainstall"
- "orainstall"
- "oracle"
- "ibm"
- "cisco"
- "dell"
- "compaq"
- "siemens"
- "hp"
- "nokia"
- "xp"
- "control"
- "office"
- "blank"
- "winpass"
- "main"
- "lan"
- "internet"
- "intranet"
- "student"
- "teacher"
- "staff"
バックドア活動
ワームは、以下のいずれかのIRCサーバに接続します。
- oak.{BLOCKED}me.net
- {BLOCKED}.{BLOCKED}.179.100
- ringc.{BLOCKED}led.net
- {BLOCKED}arc.{BLOCKED}e.st
- gloves.{BLOCKED}o.org
- picc.{BLOCKED}s.net
- oak.{BLOCKED}me.net
- helms.{BLOCKED}o.org
- sandtp.{BLOCKED}nkiller.com
- computercc.{BLOCKED}list.com
- headmefc.{BLOCKED}As.com
- onthebreak.{BLOCKED}s.com
ワームは、以下のいずれかのIRCチャンネルに接続します。
- #naga2
ワームは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。
- Terminate itself
- Leave/join IRC channel
- Terminate itself
- Get list of currently running command threads
- Create/terminate threads
- Start/stop ddos attacks:
- udp flood
- tcp flood
- icmp flood
- bandwidth flood
- syn flood
- Perform ping command
- Visit websites using Internet Explorer
- Patches %System%\drivers\tcpip.sys as itself
(Note: %System% is the Windows system folder, which is usually C:\Windows\System32. For 32-bit applications running under 64-bit system, this is usually C:\Windows\SysWOW64.) - Perform IRC commands
- Gathers information of the affected system:
- hostname
- host address
- Make an affected system the IRC server
- Flush DNS cache
- Get the IP address of the affected system using the following urls:
- http://checkip.dyndns.org
- http://checkip.dyndns.com
- http://checkip.dyndns.org:8245
- http://checkrealip.com
- http://www.ip138.com/ips8.asp
- http://www.canaan-it.net
- Scan for open ports either sequentially or randomly
- Adds/Deletes user in network Administrator group
作成活動
ワームは、以下のファイルを作成します。
- {Removable drive letter except A and B}:\autorun.inf
- {Removable drive letter except A and B}:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\Desktop.ini
情報漏えい
ワームは、以下の情報を収集します。
- OS Version Info
- OS Service Pack
- OS Locale Info
- Computer Name
その他
ワームは、自身のIRCサーバにアクセスする際に以下の認証情報を利用します。
- USER: "{OS Service Pack}-{3 random numbers} * 0 :{Computer Name}"
- NICK: "{LocaleInfo}|{OS Version}|{OS Service Pack}|{6 random numbers}"
- PASS: ""
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「WORM_SDBOT.MAL」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- netmanlr
- netmanlr
手順 6
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- EnableFirewall = "0"
- EnableFirewall = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
- Start = "4"
- Start = "4"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
- Start = "4"
- Start = "4"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
- Start = "2"
- Start = "2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
- systemxstuff = "{Malware path}\{Malware name}.exe"
手順 7
以下のフォルダを検索し削除します。
- {Removable drive letter except A and B}:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213
手順 8
「WORM_SDBOT.MAL」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。
[autorun]
open=RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe
shell\open\default=1
手順 9
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_SDBOT.MAL」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください