Trend Micro Security

VBS_KILLAV.AID

2012年10月8日
 解析者: Roland Marco Dela Paz   
 別名:

Microsoft : Trojan:VBS/Killav.D; Kaspersky : Trojan.VBS.KillAV.ae

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要


マルウェアは、ユーザのInternet Explorer(IE)のスタートページを特定のWebサイトに変更します。これにより、特定のマルウェアを含むWebサイトが表示され、感染コンピュータは、さらなる脅威にさらされる恐れがあります。

  詳細

ファイルサイズ 75,221 bytes
タイプ VBS
メモリ常駐 なし
発見日 2010年12月7日

侵入方法

マルウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

  • 222

インストール

マルウェアは、以下のファイルを作成します。

  • %Windows%\search.reg - reg data file component
  • %Windows%\.reg - reg data file component
  • %Windows%\SetWindowsIndex.reg - reg data file component
  • %Windows%\MYShowIeLinkIe6.reg - reg data file component
  • %Windows%\MyShowIeLinkIe7.reg - reg data file component
  • %Windows%\AddRight.reg - reg data file component
  • %System Root%\Documents and Settings\All Users\Desktop\{random}.tt - non-malicious file
  • %System Root%\Documents and Settings\All Users\Desktop\{garbage characters}.bt - non-malicious file
  • %System Root%\Documents and Settings\All Users\Start Menu\Programs\Internet Explorer.css - non-malicious file
  • %System Root%\Documents and Settings\All Users\Start Menu\Programs\Startup\360vbs.jse - non-malicious file
  • %Favorites%\{garbage characters}.url - non-malicious file
  • %Application Data%\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.css - non-malicious file

(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。. %System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Windows%\{random}.vbs

(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\.bt

HKEY_CLASSES_ROOT\css

HKEY_CLASSES_ROOT\shb

HKEY_CLASSES_ROOT\tt

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309A}

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\SearchScopes

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\MenuExt\{garbage characters}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
FileExts\.bt

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
FileExts\.tt

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Desktop\NameSpace\{871C5380-42A0-1069-A2EA-08002B30309A}

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden1 = 2

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Toolbar\WebBrowser
ITBar7Layout = {hex values}

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Toolbar\WebBrowser
{B580CF65-E151-49C3-B73F-70B13FCA8E86} = {hex values}

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Toolbar\WebBrowser
{F2CF5485-4E02-4F68-819C-B92DE9277049} = {hex values}

マルウェアは、以下のレジストリ値を変更します。

HKEY_CLASSES_ROOT\.css
@ = css

(註:変更前の上記レジストリ値は、「CSSfile」となります。)

HKEY_CLASSES_ROOT\.shb
@ = shb

(註:変更前の上記レジストリ値は、「DocShortcut」となります。)

HKEY_CLASSES_ROOT\http\shell\
open\command
@ = "C:\Program Files\Internet Explorer\iexplore.exe" http://dianxin.online.cq.cn/api/http/index.htm? %1

(註:変更前の上記レジストリ値は、「"C:\Program Files\Internet Explorer\iexplore.exe" -nohome」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Toolbar
LinksFolderName = Á´½Ó

(註:変更前の上記レジストリ値は、「Links」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 1

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

(註:変更前の上記レジストリ値は、「1」となります。)

Webブラウザのホームページおよび検索ページの変更

マルウェアは、ユーザのIEのスタートページを以下のWebサイトに変更します。

  • http://www.{BLOCKED}g1234.com/?my=0

  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 07.686.05
初回 VSAPI パターンリリース日 2010年12月7日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「VBS_KILLAV.AID」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください