• Email
• Facebook
• Twitter
• Google+
• Linkedin

WORM_CRIDEX.AJ

---

• マルウェアタイプ: ワーム
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

ワーム マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した ワーム ）を削除します。

---

  詳細

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %User Profile%\Application Data\KB{random number}.exe

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

ワームは、以下のフォルダを作成します。

• %User Profile%\Application Data\{random folder name}

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Local\XME{8 random characters}
• Local\XMI{8 random characters}
• Local\XMM{8 random characters}
• Local\XMF{8 random characters}
• Local\XMS{8 random characters}
• Local\XMR{8 random characters}

ワームは、以下のプロセスにコードを組み込みます。

• explorer.exe

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
KB{random number}.exe = "%User Profile%\Application Data\KB{random number}.exe"

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\S{8 random characters}

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\C{8 random characters}

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

• {drive letter}:\{random folder}

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• {drive letter}:\{random folder}\{random file name}.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
open={random folder}\{random file name}.exe
shell\Open\Command={random folder}\{random file name}.exe
shell\Open\Default=1
shell\Explore\Command={random folder}\{random file name}.exe
shell\Autoplay\command={random folder}\{random file name}.exe

バックドア活動

ワームは、不正リモートユーザからの以下のコマンドを実行します。

• Monitor browser cookies
• Download and execute arbitrary files
• Upload stolen information
• Download configuration files

ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}8.{BLOCKED}0.0.138:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA/
• http://{BLOCKED}1.{BLOCKED}5.83.189:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA/
• http://{BLOCKED}3.{BLOCKED}7.147.52:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA/
• http://{BLOCKED}7.{BLOCKED}2.144.115:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA/
• http://{BLOCKED}1.{BLOCKED}8.5.140:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA/
• http://{BLOCKED}0.{BLOCKED}6.23.100:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA/
• http://{BLOCKED}1.{BLOCKED}.235.35:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA/
• http://{BLOCKED}9.{BLOCKED}0.221.6:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA/
• http://{BLOCKED}8.{BLOCKED}8.2.214:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA/
• http://{BLOCKED}0.{BLOCKED}9.13.84:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA/
• http://{BLOCKED}1.{BLOCKED}1.168.98:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA/
• http://{BLOCKED}9.{BLOCKED}5.134.110:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA/
• http://{BLOCKED}3.{BLOCKED}8.208.55:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA/
• http://{BLOCKED}3.{BLOCKED}9.61.59:8080/LvI/xCA/GoZZkCAAAA/Noy6SAAAA/
• http://{BLOCKED}5.{BLOCKED}2.167.193:8080/mx/5/A/in/
• http://{BLOCKED}8.{BLOCKED}0.0.138:8080/mx/5/A/in/
• http://{BLOCKED}2.{BLOCKED}0.101.32:8080/mx/5/A/in/
• http://{BLOCKED}8.{BLOCKED}0.22.72:8080/mx/5/A/in/
• http://{BLOCKED}3.{BLOCKED}7.147.52:8080/mx/5/A/in/
• http://{BLOCKED}1.{BLOCKED}8.5.140:8080/mx/5/A/in/
• http://{BLOCKED}0.{BLOCKED}6.23.100:8080/mx/5/A/in/
• http://{BLOCKED}8.{BLOCKED}8.2.214:8080/mx/5/A/in/
• http://{BLOCKED}1.{BLOCKED}1.168.98:8080/mx/5/A/in/
• http://{BLOCKED}0.{BLOCKED}9.13.84:8080/mx/5/A/in/
• http://{BLOCKED}9.{BLOCKED}5.134.110:8080/mx/5/A/in/
• http://{BLOCKED}3.{BLOCKED}8.208.55:8080/mx/5/A/in/

ただし、情報公開日現在、このWebサイトにはアクセスできません。

情報漏えい

ワームは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。ワームは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

• \.com/k1/
• /ach/
• /authentication/zbf/k/
• /bb/logon/
• chase\.com
• /cashman/
• /cashplus/
• /clkccm/
• /cmmain\.cfm
• /cmserver/
• /cmwire
• achredirect\.aspx
• cbonline
• /ebc_ebc1961/
• /ibs\.
• /ibws/
• /icm/
• /icm2/
• /inets/
• /livewire/
• /loginolb/loginolb
• /netbnx/
• /olbb/
• /phcp
• /sbuser/
• /smallbiz/
• /wcmpw/
• /webcm/
• /wire/
• /wires/
• 2checkout\.com
• ablv\.com
• access\.jpmorgan\.com
• access\.usbank\.com
• accessbankplc\.com
• accountoverview\.aspx
• accurint\.com
• achieveaccess\.citizensbank\.com
• achpayment
• achweb\.unionbank\.com
• achworks\.com
• alltimetreasury\.pacificcapitalbank\.com
• alphabank\.com
• amegybank\.com/
• anb\.portalvault\.com
• atbonlinebusiness\.com
• auth\.umb\.com
• authmaster\.nationalcity\.com
• baltikums\.com
• baltikums\.eu
• banesco\.com\.pa
• bankbyweb
• bankfirst\.com
• banking\.calbanktrust\.com
• banking\.firsttennessee\.biz
• accurint\.com
• plainscapital\.gfxwebwire\.com
• sterlingpayment\.com
• rbsm\.com
• business\.swedbank\.lv
• secure\.accesshorizon\.com
• myonline\.bankbv\.com
• cencorpcu\.com/
• banknet\.lv
• bankofbermuda\.com
• bankofcyprus\.com
• bankonline\.sboff\.com
• bankonline\.umpquabank\.com
• bbo\.1stsource\.com
• bib\.lv
• billauth
• billmenu
• bizcurrency\.com
• blilk
• bmo\.com/
• bmoharrisprivatebankingonline\.com
• bmomutualfunds\.com
• bnycash\.bankofny\.com
• bob\-w\.
• bob\.sovereignbank\.com
• bolb\-east\.associatedbank\.com
• bolb\-west\.associatedbank\.com
• bolb\.
• boveda\.banamex\.com\.mx
• bscincky\.com
• business\.macu\.com
• business\.netbankerplus\.com
• business_solutions
• businessaccess\.citibank\.citigroup\.com
• businessappshome
• businessbanking\.cibc\.com
• businessclassonline\.compassbank\.com
• businesslogin
• businessmanager\.com
• businessonline
• businessportal\.mibank\.com
• butterfieldonline\.ky
• bxs\.com
• cashanalyzer\.com
• cashmanager\.mizuhoe\-treasurer\.com
• cashmgmt
• cashmgt
• cashproonline\.bankofamerica\.com
• bankofamerica\.com
• cashproweb\.com/cpwportal
• cbbusinessonline\.com
• cencorpcu\.com
• cfgbusinessaccess\.com
• checkgateway
• checkout\.com/va/login
• cib\.bankofthewest
• cibconline\.cibc\.com
• cimbanque\.net
• citizensbankmoneymanagergps\.com
• cmachm\.w
• cmbmnt\.w
• cmol\.bbt\.com/auth
• cmwirp\.w
• cnbsec1\.
• colb\.
• comerica\.com
• commercebusinessdirect\.com
• commercial\.wachovia\.com
• commercialservices
• connect\.bankcolonial\.com
• connect\.colonialbank\.com
• constitutioncorp\.org
• corpach
• corporate\.epfc\.com
• corporateaccounts
• corporatebankingweb
• corporateconnect\.net
• corpower\.coop
• createcorpwire
• createwire
• cu\.com
• cu\.org
• danskebanka\.lv
• db\-direct\.db\.com
• directline4biz\.com
• directnet\.com
• e\-moneyger
• e\-norvik\.lv
• easywebcpo\.td\.com/waw/idp
• ebanking\-services
• ebemo\.bemobank\.com
• ebill\.highmark\.com
• ecash\.
• ecm\-transfers\.unionbank\.com
• ecms\.unionbank\.com
• efirstbank\.com
• ekp\.lv
• enternetbank\.com
• enterprise2\.openbank\.com
• epd\.uscentral\.org
• eurobankefg\.com
• exact4web
• exness\.com
• express\.53\.com
• expressdeposit\.colonialbank\.com
• fbmedirect\.com
• ffinonline\.com
• ffrontier\.com
• fir

その他

ワーム は、自身（コンピュータに侵入して最初に自身のコピーを作成した ワーム ）を削除します。

ワームが実行するコマンドは以下のとおりです。

• Webブラウザのクッキーの監視
• 任意のファイルのダウンロードと実行
• 収集された情報のアップロード
• 環境設定ファイルのダウンロード

ワームは、以下のWebブラウザを監視します。

• firefox.exe

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください