WORM_COREFLOOD.A
Windows 2000, XP, Server 2003
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
詳細
侵入方法
ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
ワームは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。
- http://savupdate.{BLOCKED}evalidate.net/ctfup32.rar
- http://health.{BLOCKED}plus.net/ctfup32.rar
インストール
ワームは、以下のファイルを作成します。
- %User Temp%\~~{random number}.tmp - also detected as BKDR_OFICLA.AI
- %System%\{random file name}.dat - encrypted data
- %System%\{random file name}.ocx - copy of itself
(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CLASSES_ROOT\CLSID\{random CLSID}
(Default) = {random registry value}
HKEY_CLASSES_ROOT\CLSID\{random CLSID}\
InprocServer32
(Default) = %System%\{random file name}.ocx
HKEY_CLASSES_ROOT\CLSID\{random CLSID}\
InprocServer32
ThreadingModel = Apartment
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
ShellIconOverlayIdentifiers\{random key}
(Default) = {random CLSID}
その他
このワームのコードから、ワームは、以下の機能を備えています。
Backdoor Routines
Upon execution, it terminates EXPLORER.EXE and restarts the process with its code injected in it. It then attempts to resolve the host to any of the following servers:
- http://{BLOCKED}ate.licensevalidate.net
- http://{BLOCKED}s.hostfarmville.net
Once a user opens a browser, it will perform a HTTP POST request with the following parameters containing system information:
- http://{malware server}/index.php/r={parameter}&i=&v={version}&os={operating system}&s=&h=&d={parameter}&b={parameter}&u={parameter}&k={parameter}&m={parameter}&panic={parameter}&ie={parameter}&input={parameter}&c={country of affected system}&l={parameter}
It will then expect to receive backdoor commands from the server.
As of writing, the server replies with commands that does the following:
- Assign a unique ID for the bot
- Move a file named "c:\myservice.log" - not present in the system
- Download, execute, and save the file downloaded from the website http://savupdate.{BLOCKED}evalidate.net/login.php as %User Temp%\tmsfoload.exe. Trend Micro detects this executable file as WORM_COREFLOOD.A. As of writing, the downloaded file is an updated copy of itself.
Propagation via Network Shares
- It scans the network for random IP addresses to search for target systems.
- It then attempts to drop and execute the following copy of itself to target IP addresses:
- %Windows%\System\ctfmnt.exe
Download Routine
It downloads a non-malicious component file named rar.exe from its server. It will then use this downloaded file to unpack the next file it will download from the server, ctfup32.rar, which is an archive file containing an updated copy of the malware.
Initially, the malware will save all the downloaded files to the %User Temp% folder. Afterwards, it will install the contents of the archive ctfup32.rar to the %Windows%\System folder.
Information Theft
It monitors certain applications such as the following:
- Firefox
- Opera
- Skype
It logs user keystrokes when affected users visit Web sites with the following strings:
- answer
- challenge
- clave
- codigo
- firma
- identifica
- memorable
- parol
- passphras
- password
- secret
- secur
- segur
Other Details
- %User Temp%\tlmlg1.log
- %User Temp%\tlmlg2.log
- Steal data from HTTPS sessions.
- Read these component files, which are currently not found on systems: ie.dat, input.dat, other.dat, panic.dat.
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
追加されたランダムなCLSIDキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
手順 4
以下のファイルを検索し削除します。
- %System%\{random file name}.dat
- %User Temp%\ctfup32.rar
- %User Temp%\rar.exe
- %User Temp%\tlmlg1.log
- %User Temp%\tlmlg2.log
手順 5
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_COREFLOOD.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_COREFLOOD.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください