Trend Micro Security

BKDR_OTWYCAL

2013年9月4日
 別名:

Otwycal, Wowinzi, Cowya

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ファイル感染型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 ファイルに感染, リムーバブルドライブを介した感染活動

CAOLYWA」は、自身の拡散機能をさらに強化し、ワーム機能を備えたファイル感染型ウイルスです。「CAOLYWA」は、リムーバブルドライブ内に自身のコピーを作成することでコンピュータへの感染を広げます。また、インターネットを介して拡散してきました。2008年には、乗っ取られたWebサイトが「PE_CAOLYWA.E」のダウンロードをもたらしました。

「CAOLYWA」は、コマンド&コントロール(C&C)サーバからのコマンドを実行します。また、テキストファイルまたは環境設定ファイルをダウンロードし、この環境設定ファイル内に含まれているコマンドを実行します。

ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を実行します。

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ウイルスは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

  詳細

メモリ常駐 はい
ペイロード システムセキュリティへの感染活動, URLまたはIPアドレスに接続

インストール

ウイルスは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Windows%\Tasks\0x01xx8p.exe

(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

ウイルスは、以下のファイルを作成します。

  • {drive letter}:\MSDOS.bat
  • %Windows%\Tasks\explorer.ext
  • %Windows%\Tasks\spoolsv.ext
  • %Windows%\Tasks\SysFile.brk
  • C:\zzz.sys

(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

ファイル感染

ウイルスは、以下の形式のファイルに感染します。

  • . To
  • .GHO
  • .asp
  • .aspx
  • .bat
  • .cgi
  • .cmd
  • .do
  • .exe
  • .htm
  • .html
  • .jsp
  • .php
  • .scr
  • .shtm
  • .shtml
  • .xml

ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を実行します。

ウイルスは、以下の文字列を含むフォルダには感染しません。

  • Program Files

ウイルスは、以下のファイルには感染しません。

  • qq.exe
  • QQDoctor.exe
  • QQDoctorMain.exe

感染活動

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[AutoRun]

open=MSDOS.bat

shell\open={characters}

shell\open\Command=MSDOS.bat

shell\open\Default=1

shell\explore={characters}

shell\explore\Command=MSDOS.bat

バックドア活動

ウイルスは、不正リモートユーザからの以下のコマンドを実行します。

  • Access sites
  • Download and execute files
  • Infect files
  • Spread itself via removable drives

プロセスの終了

ウイルスは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • avp.exe
  • kvsrvxp.exe
  • kissvc.exe

ダウンロード活動

ウイルスは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

  • http://c.{BLOCKED}m.com/config.txt
  • http://w.{BLOCKED}b.cn/config.txt
  • http://x.{BLOCKED}1.net/x.txt

ウイルスは、以下のファイル名でダウンロードしたファイルを保存します。

  • %System%\windows.txt

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

その他

ウイルスが実行するコマンドは、以下のとおりです。

  • Webサイトへのアクセス
  • ファイルのダウンロードおよび実行
  • ファイル感染
  • リムーバブルドライブを介しての自身の拡散

  対応方法

対応検索エンジン: 9.300

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください