Trend Micro Security

TROJ_DISTTRACK

2017年1月24日
 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: はい
  • 暗号化:  
  • 感染報告の有無: はい

  詳細

メモリ常駐 はい

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\trksvr.exe
  • \{IP address}\ADMIN$\system32\{random file name}.exe
  • \{IP address}\C$\WINDOWS\system32\{random file name}.exe
  • \{IP address}\D$\WINDOWS\system32\{random file name}.exe
  • \{IP address}\E$\WINDOWS\system32\{random file name}.exe
  • \{command-line parameter}\ADMIN$\system32\{random file name}.exe
  • \{command-line parameter}\C$\WINDOWS\system32\{random file name}.exe
  • \{command-line parameter}\D$\WINDOWS\system32\{random file name}.exe
  • \{command-line parameter}\E$\WINDOWS\system32\{random file name}.exe

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

自動実行方法

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
ImagePath = "%System\trksvr.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
DisplayName = "Distributed Link Tracking Server"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
DependOnService = "RpcSs"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
DependOnGroup = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
Description = "Enables the Distributed Link Tracking Client service within the same domain to provide more reliable and efficient maintenance of links within the domain. If this service is disabled, any services that explicitly depend on it will fail to start."

ワームは、以下のファイルを作成します。

  • %System%\{random file name}.exe
  • %System%\netinit.exe
  • {malware path}\f1.inf
  • {malware path}\f2.inf
  • %System%\Drivers\drdisk.sys
  • %Windows%\inf\netf{4 random characters}.pnf

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)