• Email
• Facebook
• Twitter
• Google+
• Linkedin

WORM_CRIDEX.AR

---

• マルウェアタイプ: ワーム
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、特定のWebサイトにアクセスし、情報を送受信します。

ワーム マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した ワーム ）を削除します。

---

  詳細

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\KB{random numbers}.exe

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

ワームは、以下のファイルを作成します。

• %User Temp%\POS6.tmp.BAT

(註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

ワームは、以下のフォルダを作成します。

• %Application Data%\{random folder}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

ワームは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Local\E{random numbers}
• Local\M{random numbers}
• Local\I{random numbers}
• Local\R{random numbers}
• Local\F{random numbers}
• Local\B{random numbers}
• Local\S{random numbers}

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
KB{random numbers}.exe = ""%Application Data%\KB{random numbers}.exe""

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media Center\{random1}
{default} = {hex numbers}

ワームは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media Center

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media Center\{random}

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media Center\{random1}

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

• {random folder}

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• {random folder}\{random file name}.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
open={random folder}\{random file name}.exe
shell\Open\Command={random folder}\{random file name}.exe
shell\Open\Default=1
shell\Explore\Command={random folder}\{random file name}.exe
shell\Autoplay\command={random folder}\{random file name}.exe

バックドア活動

ワームは、以下のWebサイトにアクセスし、情報を送受信します。

• https://{BLOCKED}.com/T1/
• https://{BLOCKED}.com/T1/
• https://{BLOCKED}.com/T1/
• https://{BLOCKED}.net/T1/

情報漏えい

ワームは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。ワームは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

• *.com/K1inessaccess.citiveaccess.citizen
• *.onlineaccess
• */Authenticatbank.com*
• */Authoint.usbank.com*
• */CASHplusineaccess1.com*
• */CLKCCM/*treasury.pncbank*
• */Common/Sice.wellsfargo.co
• */Common/Signnlineserv/CM*
• */Common/Sit*
• */Common/net*
• */IBWS/*
• */ebc_ebc1*express.53.com*
• */ebc_ebc1961press.53.com/expcom*
• */ibsolbb/*
• */inets/*
• */sbuser/*
• */wirenternet-ebankingm*
• *CLKCCM*
• *access.rbsm.cotiabank.com*
• *anb.portalva
• *b*business-eb.ibaeaf*
• *b*servlet/teller*urentry.calbankt
• *ba*efirstbank.com*
• *banking.ca/*
• *banking.calapitalonebank.cocom/K1/*\
• *banking.calb
• *banking.calbaitalonebank.com*m/K1/*
• *banking.firservices.com*
• *banking.firstteom*
• *banking.tbank.com*
• *bankonline.com*
• *bankonline.sbo*
• *banwernet.capitalon
• *bc_ebc1961/*
• *blilk.com*
• *bmibank.com*
• *bmoharri
• *bmoharrispbnycash.bankofnyn.com*
• *bmomutualfu
• *bmomutualfun
• *bmomutualfundsbusinessbanking./logon*
• *bnycash.bankoflon.com*
• *bnycasr.bnymellon.com*on*
• *bnycger.bnymellon.cognon*
• *bob.sovere
• *bolb-eashproonline.bankohewest.com*
• *bolb-east.roonline.bankofawest.com*
• *boveda.banam
• *btowernet.capital
• *busibbankingforbusinxpress.com*
• *busieasurydirect.tdbxpress/logon.act
• *busineibbpowerlink.com
• *businesing.calbanktrustbank.com*
• *business.nfundsxpress.com*
• *businessbankiibc.com*
• *businessbankinom/logon*
• *businessclassoshanalyzer.com*
• *businesse.fundsxpress.co
• *businessmg.calbanktrust.cnk.com*
• *businessonlierlink.com*
• *businesurydirect.tdbanress/logon.actio
• *buwebbankingforbushexpress.com*
• *bxs.spx*
• *cashanalyzecom*
• *cashanalyzer.m*
• *cencorpcu.com*
• *cfgbusincial*
• *cib.bankof/auth*
• *cib.bankom/auth*
• *cibbbt.com/auth*
• *citibank.citigroizensbank.com*
• *cl.bbt.com/auth*
• *cmserver*
• *comerica.com/bks.com/olb*
• *commerci*commercialservifxmanager.bankofirect.com*
• *commercial.w
• *commercial.wa
• *commercial.wach
• *commercialser*ifxmanager.banksdirect.com*
• *corpACH*
• *cu.com*s.cunet.org*
• *cu.conks.cunet.org*
• *cuylinks.cunet.org
• *e-moneyger.corentrycorp.amegy
• *easyweba.banamex.com.mxIBWS/*
• *easywebcpst.associatedbanedbank.com*
• *easyweda.banamex.com.*/IBWS/*
• *ebanking-serves.com*
• *ebanking-servic.com*
• *ebc_ebc1961*
• *ebc_ervices.com*
• *ecas.arvest.com*
• *ecash.rvest.com*
• *efirstbank.com*
• *enlobal1.onlineban
• *entebal1.onlinebank.*/sbuser/*
• *enteral1.onlinebank.c/sbuser/*
• *enternetb
• *enternetban*northerntrust.c
• *epd.uscenasp*
• *epd.uscentrp*
• *epd.usnet*
• *express.53itizens.com*
• *express.tcitizens.com*
• *eyger.com*
• *flickr.com*
• *globalinkreet.com*
• *globalistreet.com*
• *globet.net*
• *glrnet.net*
• *hb.exe* aspx*
• *hbcash.ex
• *hbcash.exe*
• *hillsbank.co*
• *hillsbank.com*
• *hillsbankbb/*
• *hillsonalcity.com*
• *hiltionalcity.com*
• *homebank.n
• *hsbc*
• *ibbpowan.com*
• *ibbpower.com*
• *ibbpowerlink.business.jsp*
• *ibbpowerlink.cosiness.jsp*
• *iconnect.com*
• *inetba
• *inetbank
• *mbachexmbersunited.org*surer.com*
• *mbachexpress.nited.org*
• *metrobankd
• *metrobankdir
• *metrobankdir*
• *metrobankdom*
• *mybanknshinestatefeder
• *mybasunshinestatefed
• *mystreabank.com*
• *nashvillecint.usbank.com*
• *nashvillecitt.usbank.com*
• *nfgbusinessonlinakecitybank.webc
• *nline.chase.com/*
• *nortbanker.cc*
• *northbnker.cc*
• *northeOn/*
• *northerntrust
• *nsbank.com/
• *nsbank.com//b
• *ntrs.com*
• *onlinebanking.bonline.tdbank.coank.com*
• *onlinebausinessonline.tdapitalbank.com*
• *onlineserv/-banking*
• *orporate.org*
• *otm.sun
• *passport.tvillecitizensban.com*
• *paylinks.cune
• *paypalaspx*
• *phcp/sank.com*
• *phcp/senk.com*
• *phcp/serv.com*
• *pub/htmk.citigroup.com*nk.com*
• *pub/html*citigroup.com*
• *rbs.com/wps/andyspringbank.c/mp*
• *rbs.com/wps/podyspringbank.comp*
• *royalbaaccess.rbsm.com/abank.com*
• *royalbankcess.rbsm.com/loank.com*
• *s.usbank.com*
• *sandyspayment.com/mp*
• *sandytpayment.com/mp*
• *secure
• *secure.bancbank.wesbanco.co
• *secure.banebank.wesbanco.m*
• *secure.fundsxpolb*
• *secure2.umb.co*libertymutualbuioonline.metavanom*
• *secure7.access1.com*
• *secure7.oncess1.com*
• *securebaalhartfederal.co
• *securebankhartfederal.com*
• *securentry*
• *sial.wachovia.comhcp/servlet*
• *solusinessonline.comconstitutioncorp
• *solutioessonline.com*
• *solutionssonline.com*
• *sso.towernet.capital.com/consultnc*
• *sso.uboc*
• *sttennessee*
• *svbc.banksterling.cocom*
• *svbconnect.crling.com*
• *svng.banksterling.k.com*
• *tatedbank.com*
• *telepc.*
• *top.capital.com*
• *top.capitst.com*
• *torateAccounts*
• *treasessonline.huntinm*
• *treasury.portal/*
• *treasury.wcom*
• *treasurydir3.com/express/lo.com*
• *treasuryk.com*
• *treateAccounts*
• *treinessonline.huntcom*
• *trem/wps/portal/cb/bank.com*
• *trusessclassonline.ccey-ebanking.comm*
• *trustmsclassonline.comy-ebanking.com*
• *twitter.
• *unitedban
• *unitedbankw
• *unxe*
• *usaa.com*
• *usinessclassonlinalyzer.com*
• *vectrabank.ingbankconnect.cktx.com/cgi-bin/inkweb.com*
• *vectrabanpringbankconnectanktx.com/cgi-biylinkweb.com*
• *webbankin
• *wellsoffiualfunds.com*
• *wellsofutualfunds.com*
• *wellsomutualfunds.comnessbanking.cibc*
• *westfieldcure-eccu.org*
• *westfiesecure-eccu.org*
• *wsclassonline.comr.com*
• *y.statestreet.cotfolio*
• .1stsource.com*
• .com/K1/*essaccess.citibaaccess.citizensb
• .fsbnm.com*
• .fsbperkasie.com
• access.ine.scotiabank.cank.com*
• anking.firsttenn*
• bank.com*
• banking.cibc.com
• banking.com*
• bcashmgmt.com*
• bk.inetbanker.co
• blilk.comom*
• bperkasie.com*
• businessonline.hnager.com*
• capitalonebank.cultnc*
• centerprisebank.
• comerica.com/bus.com/olb*
• corp.amegybank.cnlineserv/CM*
• direct.com*
• easury.pncbank.c
• ebanking.com*
• encorpcu.com*
• er.usbank.com*
• erkasie.com*
• essclassonline.czer.com*
• etrobankdirect.c
• fbconnect.com*
• ficenterprisebanm*
• harrisprivatebanankofny.com*
• hutch.com*
• ibanking-service
• ierview.membersuzuhoe-treasurer.
• itutioncorp.org*
• l.mibank.com*
• l.selectpayment.
• moharrisprivateb.bankofny.com*
• mycorporatecure.fnbhutch.cmoneyger*
• neymanagergps.co
• nlinebanking.banline.tdbank.com*k.com*
• nlinencr.com*
• oneyger.com*
• onlinencr.k.com*
• paylinks.cunet.o
• rcial.wachovia.c*phcp/servlet*
• robankdirect.com
• rp.amegybank.comineserv/CM*
• rview.membersunihoe-treasurer.co
• s.citibank.citigitizensbank.com
• s.com*
• secure2.umb.com*ibertymutualbusionline.metavante*
• servlet/telleecurentry.calban
• sh.fsbnm.com*
• sinessonline.hunger.com*
• solutions.html*
• ssbanking.cibc.c!
• stitutioncorp.or
• stsource.com*
• t.capitalonebanknsultnc*
• tsbk.inetbanker.
• webcashmgmt.com*bank.com*
• wtdirect.com*
• ycorporate.org*
• nbhutch.com*
• ylinks.cunet.orgbankonline.sboff
• ymanagergps.com*

その他

ワーム は、自身（コンピュータに侵入して最初に自身のコピーを作成した ワーム ）を削除します。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください