Trend Micro Security

TRACUR

2014年11月11日
 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 ピアツーピア(P2P)ネットワークを介した感染活動, インターネットからのダウンロード

「TRACUR」の亜種は、P2Pネットワークまたは、他のマルウェアによってダウンロードされたファイルとしてコンピュータに侵入します。

「TRACUR」は、ワームのファミリで、ユーザのブラウザを、マルウェアの製作者が金銭を稼ぐことができる広告へ誘導します。マルウェアは、ブラウザのコンポーネントをインストールし、Webブラウザの閲覧活動を監視し、関連するポップアップを表示します。

「TRACUR」の亜種はまた、他のマルウェアを感染コンピュータにダウンロードし、実行することができます。

2010年、「TRACUR」の亜種は、脆弱性を利用した攻撃の最終ペイロードであることが確認されました。この脆弱性利用は、MOVファイルおよび動画再生アプリケーション「Quicktime」の特定機能に関連していました。

ユーザは、P2Pネットワークで、不正に細工された拡張子「MOV」のファイルを確認する可能性があります。そしてファイルを「Quicktime」で実行しようとすると、ファイルは起動され、不正なURLに誘導するInternet Explorerのウィンドウを開きます。そして不正なURLは、ユーザにファイルをダウンロードするよう促します。ファイルは例外なく、不正であり、「TRACUR」の亜種です。

  詳細

メモリ常駐 はい
ペイロード ファイルの作成, システムのレジストリの変更, URLまたはIPアドレスに接続

インストール

マルウェアは、以下のファイルを作成します。

  • %System%\{random}32.dll
  • %Application Data%\SystemProc\upd.exe
  • %Application Data%\{CLSID}.manifest
  • %Application Data%\Mozilla\Firefox\Profiles\{hex}.default\extensions\{CLSID}\chrome.manifest
  • %Application Data%\Mozilla\Firefox\Profiles\{hex}.default\extensions\{CLSID}\chrome\xulcache.jar
  • %Application Data%\Mozilla\Firefox\Profiles\{hex}.default\extensions\{CLSID}\defaults\preferences\xulcache.js
  • %Application Data%\Mozilla\Firefox\Profiles\{hex}.default\extensions\{CLSID}\install.rdf
  • %Program Files%\Mozilla Firefox\extensions\{CLSID}\chrome.manifest
  • %Program Files%\Mozilla Firefox\extensions\{CLSID}\chrome\content\timer.xul
  • %Program Files%\Mozilla Firefox\extensions\{CLSID}\install.rdf

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\SystemProc\lsass.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

マルウェアは、以下のフォルダを作成します。

  • %Application Data%\SystemProc
  • %Program Files%\Mozilla Firefox\extensions\{CLSID}
  • %Program Files%\Mozilla Firefox\extensions\{CLSID}\chrome
  • %Program Files%\Mozilla Firefox\extensions\{CLSID}\chrome\content
  • %Application Data%\Mozilla\Firefox\Profiles\{hex}.default\extensions\{CLSID}\defaults
  • %Application Data%\Mozilla\Firefox\Profiles\{hex}.default\extensions\{CLSID}\defaults\preferences
  • %Program Files%\Mozilla Firefox\extensions\{CLSID}\chrome\content

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
RTHDBPL = "%Application Data%\SystemProc\lsass.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
RTHDBPL = "{Malware path and file name}.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify
{random} = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{random}
DllName = "%System%\{random}32.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{random}
Startup = "EventStartup"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer
{random} = "{Hex Values}"

HKEY_CURRENT_USER\Identities
Curr version = "11"

HKEY_CURRENT_USER\Identities
Inst Date = "{DD-M-YYYY}"

HKEY_CURRENT_USER\Identities
Last Date = "{DD-M-YYYY}"

HKEY_CURRENT_USER\Identities
Popup count = "0"

HKEY_CURRENT_USER\Identities
Popup date = "0"

HKEY_CURRENT_USER\Identities
Popup time = "0"

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
AppInit_DLLs = "%System%\{random}32.dll"

(註:変更前の上記レジストリ値は、「" "」となります。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}.{BLOCKED}.93.190/conn
  • {BLOCKED}.{BLOCKED}.93.190/conn
  • {BLOCKED}.{BLOCKED}.1.173/inq/
  • {BLOCKED}.{BLOCKED}.1.173/ppfd/
  • {BLOCKED}.{BLOCKED}.1.176/inq/
  • {BLOCKED}hn.info/inq/
  • {BLOCKED}ggym.com/conn
  • {BLOCKED}hd38j.info/pxsm/
  • {BLOCKED}ime.com/conn
  • {BLOCKED}opksh.info/mzeq/
  • {BLOCKED}hn.info/inq/
  • http://{BLOCKED}llqz.com/inst.php?aid=hidden
  • http://{BLOCKED}llrx.com/update.php?sd={date}&aid=hidden
  • http://{BLOCKED}lltx.com/update.php?sd={date}&aid=hidden
  • http://{BLOCKED}x.com/update.php?sd={date}&aid=hidden
  • http://{BLOCKED}on7.com/update.php?sd={date}&aid=hidden
  • http://{BLOCKED}o.com/update.php?sd={date}&aid=hidden
  • http://{BLOCKED}r.com/update.php?sd={date}&aid=hidden
  • http://{BLOCKED}ebox.com/update.php?sd={date}&aid=hidden
  • http://{BLOCKED}ebox.com/update.php?sd={date}&aid=hidden
  • http://{BLOCKED}traffik.ru/request.php?aid={date}&ver={hex}
  • http://{BLOCKED}request1.com/request.php?aid={date}&ver={hex}
  • http://{BLOCKED}900.com/se.php?pop=1&aid={hex}&sid={date}&key={keyword search}
  • http://{BLOCKED}enter.com/se.php?pop=1&aid={hex}&sid={date}&key={keyword search}
  • http://{BLOCKED}cn1.com/se.php?pop=1&aid={hex}&sid={date}&key={keyword search}

  対応方法

対応検索エンジン: 9.700

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください