ALDIBOT
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
「ALDIBOT」は、マルウェア関連フォーラム内で2012年8月下旬に初めて確認されました。この亜種は、WebブラウザMozilla Firefox、インスタントメッセンジャ「Pidgin」やダウンロードマネージャ「JDownloader」からパスワードを収集します。「ALDIBOT」の亜種は、自身のコマンド&コントロール(C&C)サーバへ収集した情報を送信します。
このマルウェアの亜種は、HTTP、TCP、UDPやSYNといったさまざまなプロトコルを用いて分散型サービス拒否(DDoS)攻撃を実行する可能性があります。また、マルウェアは、SlowlorisやLayer 7を介したフラッド攻撃を行う可能性もあります。
このボットは、自身をSOCKSプロキシとして設定し、任意のプロトコルに対するプロキシとして感染コンピュータを悪用する可能性があります。
このマルウェアの亜種は、任意のファイルのダウンロードと実行、および自身の更新が可能です。感染コンピュータのHardware Identification (HWID)、ホスト名、ローカルIPアドレスおよびOSのバージョンの情報を収集する可能性があります。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\AudioTreiber_x64.exe
- %Application Data%\hklm.exe
- %Application Data%\nvsvc32.exe
- %Application Data%\Windowsie.exe
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random}
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Audio Treiber x64 = "%Application Data%\AudioTreiber_x64.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Audio Treiber x64 = "%Application Data%\AudioTreiber_x64.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random}
Audio Treiber x64 = ""%Application Data%\AudioTreiber_x64.exe /ActiveX""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Application Data%\AudioTreiber_x64.exe = "%Application Data%\AudioTreiber_x64.exe:*:Enabled:"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
c0xG3w0pwDWmTic = "%Application Data%\hklm.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
c0xG3w0pwDWmTic = "%Application Data%\hklm.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Application Data%\hklm.exe = "%Application Data%\hklm.exe:*:Enabled:"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
NVidia Physx Service = "%Application Data%\nvsvc32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
NVidia Physx Service = "%Application Data%\nvsvc32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random}
NVidia Physx Service = ""%Application Data%\nvsvc32.exe /ActiveX""
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
KyKEJSLY1Nb07ie = "%Application Data%\Windowsie.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
KyKEJSLY1Nb07ie = "%Application Data%\Windowsie.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random}
KyKEJSLY1Nb07ie = ""%Application Data%\Windowsie.exe /ActiveX""
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
sw9YAYyV3loUuvj = "%Application Data%\AudioTreiber_x64.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
sw9YAYyV3loUuvj = "%Application Data%\AudioTreiber_x64.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random}
sw9YAYyV3loUuvj = ""%Application Data%\AudioTreiber_x64.exe /ActiveX""
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- StartHTTP - starts an HTTP DDoS attack
- StartSlowloris - starts a Slowloris DDoS attack
- StartTCP - starts a TCP DDoS attack
- StartSSYN - starts SYN DDoS attack
- StartLayer7 - starts Layer 7 DDoS attack
- StopHTTPDDoS - stops an HTTP DDoS attack
- StopTCPDDoS - stops a TCP DDoS attack
- StopDDoS - stops all DDoS attack
- DownloadEx - downloads and executes file
- startUDP - starts a UDP DDoS attack
- OpenWebSite - visits sites
- CreateSocks - creates SOCKS5 proxy
- StealData - performs password stealing capability
- Update - updates itself
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}i.{BLOCKED}t.w2c.ru/gate.php?hwid={HWID}&pc={Host Name}&localip={Local IP Address}&winver={OS Version}
- http://{BLOCKED}1.ba.{BLOCKED}c.de/aldi/gate.php?hwid={HWID}&pc={Host Name}&localip={Local IP Address}&winver={OS Version}
- http://{BLOCKED}e.{BLOCKED}b.com/tt/gate.php?hwid={HWID}&pc={Host Name}&localip={Local IP Address}&winver={OS Version}
- http://{BLOCKED}lnoe.{BLOCKED}ke.com/musice/gate.php?hwid={HWID}&pc={Host Name}&localip={Local IP Address}&winver={OS Version}
- http://www.{BLOCKED}ued.de/aldi/gate.php?hwid={HWID}&pc={Host Name}&localip={Local IP Address}&winver={OS Version}
マルウェアが実行するコマンドは、以下のとおりです。
- StartHTTP - HTTP DDoS攻撃を開始
- StartSlowloris - Slowloris DDoS攻撃を開始
- StartTCP - TCP DDoS攻撃を開始
- StartSSYN - SYN DDoS攻撃を開始
- StartLayer7 - Layer 7 DDoS攻撃を開始
- StopHTTPDDoS - HTTP DDoS攻撃の停止
- StopTCPDDoS - TCP DDoS攻撃の停止
- StopDDoS - すべてのDDoS攻撃の停止
- DownloadEx - ファイルのダウンロードおよび実行
- startUDP - UDP DDoS攻撃の開始
- OpenWebSite - Webサイトの訪問
- CreateSocks - SOCKS5プロキシの作成
- StealData - パスワード収集機能の実行
- Update - 自身の更新
マルウェアは、以下のブラウザからユーザ名、パスワードやホスト名といった保存された情報を取得します。
- Mozilla Firefox
マルウェアは、以下のアプリケーションからユーザ名やパスワードといった情報を取得します。
- Pidgin
- JDownloader
また、マルウェアは、自身のユーザエージェントとして以下を利用します。
- Aldi Bot FTW :D
対応方法
トレンドマイクロのお客様:
最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。
インターネットをご利用の皆様:
- トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
- 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください