Trend Micro Security

OSCARBOT

2014年12月23日
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 IRCを介した感染活動, リムーバブルドライブを介した感染活動, インスタントメッセンジャ(IM)を介した感染活動, ソフトウェアの脆弱性を利用した感染活動

Trend Micro spotted the first OSCARBOT malware in 2007, spreading via the ASN.1 Bitstring Overflow vulnerability found in Windows NT, 2000, and XP systems. Other OSCARBOT malware propagates using any of the following routes:

トレンドマイクロは、2007年に、初めて「OSCARBOT」を確認しました。「OSCARBOT」は、Windows NT、2000、XPに存在するASN.1のビット文字列のオーバフロー脆弱性を利用して拡散します。その他の「OSCARBOT」は、以下の手法を利用して拡散します。

  • VInternet Relay Chat (IRC)を利用

  • インスタントメッセンジャーを利用

  • リムーバブルドライブを利用

Its main objective is to execute commands on an infected computer by way of connecting to a specific IRC server and channel. When connected, the malware receives commands issued on the channel and executes these commands on the computer it infects. The commands executed vary but may include any of the following:

このワームの主な目的は、感染したコンピュータ上でコマンドを実行することです。これは、特定のIRCサーバやチャネルに接続することで実行されます。接続されると、ワームは、チャネル上で送信されたコマンドを受信し、感染コンピュータ上で実行します。実行されるコマンドは変化しますが、以下のいずれかを含む可能性があります。

  • ファイルのダウンロードおよびアップロード

  • Syn フラッド攻撃の実行

  • 分散型サービス拒否(DDoS)攻撃の実行

  • MSNやAIMメッセンジャーを利用して自身を拡散

  • 保護されたストレージからパスワードを窃取

  詳細

メモリ常駐 はい
ペイロード システムセキュリティへの感染活動

インストール

ワームは、以下のファイルを作成します。

  • %User Temp%\rmme{4 numbers}.bat

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\afd.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Cftmon32 = "%Application Data%\afd.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Terminal Server\
Install\Software\Microsoft\
Windows\CurrentVersion\Run
Cftmon32 = "%Application Data%\afd.exe"

他のシステム変更

ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path}\{malware name}.exe = "{malware path}\{malware name}.exe:*:Enabled:Cftmon32"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path}\{malware name}.exe = "{malware path}\{malware name}.exe:*:Enabled:1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
{malware path}\{malware name}.exe = "{malware path}\{malware name}.exe:*:Enabled:1"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • Folder
  • Folder\SubFolder

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • Folder\SubFolder\file.exe

バックドア活動

ワームは、以下のいずれかのIRCサーバに接続します。

  • one.{BLOCKED}t.com

  対応方法

対応検索エンジン: 9.200

Trend customers:

    Keep your pattern and scan engine files updated. Trend Micro antivirus software can clean or remove most types of computer threats. Malware, though, such as Trojans, scripts, overwriting viruses and joke programs which are identified as uncleanable, should simply be deleted.

All Internet users:

  • Use HouseCall - the Trend Micro online threat scanner to check for malware that may already be on your PC.
  • Catch malware/grayware before they affect your PC or network. Secure your Web world with Trend Micro products that offer the best anti-threat and content security solutions for home users, corporate users, and ISPs. Go here for more information on Trend Micro products that fit your needs.


ご利用はいかがでしたか? アンケートにご協力ください