WORM_CRIDEX.SS

2012年11月8日

解析者: Sabrina Lei Sioting

プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: ワーム
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路リムーバブルドライブを介した感染活動, Eメールを介したスパム活動, 他のマルウェアからの作成, インターネットからのダウンロード

ワームは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

ワームマルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したワーム）を削除します。

詳細

ファイルサイズ 112,640 bytes

タイプ EXE

メモリ常駐はい

発見日 2012年11月6日

ペイロードシステムセキュリティへの感染活動, URLまたはIPアドレスに接続

侵入方法

ワームは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%User Profile%\Application Data\KB{random number}.exe

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

ワームは、以下のフォルダを作成します。

%User Profile%\Application Data\{random folder}

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

Local\XME{random}
Local\XMM{random}
Local\XMI{random}
Local\XMS{random}
Local\XMF{random}
Local\XMR{random}

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
KB{random number}.exe = "%User Profile%\Application Data\KB{random number}.exe"

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\{random}

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

{random folder}

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

{random folder}\{random file name}.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
open={random folder}\{random file name}.exe
shell\Open\Command={random folder}\{random file name}.exe
shell\Open\Default=1
shell\Explore\Command={random folder}\{random file name}.exe
shell\Autoplay\command={random folder}\{random file name}.exe

バックドア活動

ワームは、不正リモートユーザからの以下のコマンドを実行します。

Download and execute additional files
Download other files
Monitors cookies
Steal login credentials
Update itself
Upload collected certificates and credentials

ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

http://{BLOCKED}0.108:8080/cyACODAA/6OXs4B/movUWBAAAA/
http://{BLOCKED}.150.72:8080/cyACODAA/6OXs4B/movUWBAAAA/
http://{BLOCKED}.5.140:8080/cyACODAA/6OXs4B/movUWBAAAA/
http://{BLOCKED}.17.180:8080/cyACODAA/6OXs4B/movUWBAAAA/
http://{BLOCKED}2.202:8080/cyACODAA/6OXs4B/movUWBAAAA/
http://{BLOCKED}87.72:8080/cyACODAA/6OXs4B/movUWBAAAA/
http://{BLOCKED}.102.95:8080/cyACODAA/6OXs4B/movUWBAAAA/
http://{BLOCKED}1.59:8080/cyACODAA/6OXs4B/movUWBAAAA/
http://{BLOCKED}7.9:8080/cyACODAA/6OXs4B/movUWBAAAA/
http://{BLOCKED}.189.180:8080/cyACODAA/6OXs4B/movUWBAAAA/
http://{BLOCKED}.82:8080/cyACODAA/6OXs4B/movUWBAAAA/
http://{BLOCKED}1.6:8080/cyACODAA/6OXs4B/movUWBAAAA/
http://{BLOCKED}.238.18:8080/cyACODAA/6OXs4B/movUWBAAAA/
http://{BLOCKED}.216.70:8080/cyACODAA/6OXs4B/movUWBAAAA/
http://{BLOCKED}.57.208:8080/cyACODAA/6OXs4B/movUWBAAAA/
http://{BLOCKED}.221.186:8080/cyACODAA/6OXs4B/movUWBAAAA/

作成活動

ワームは、以下のファイルを作成します。

%User Temp\exp70.tmp.exe - detected as TROJ_KRYPTIK.S

情報漏えい

ワームは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。ワームは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

/ach/
/authentication/zbf/k/
/bb/logon/
/cashman/
/cashplus/
/clkccm/
/cmmain\.cfm
/cmserver/
/cmwire
/ebc_ebc1961/
/ibs\.
/ibws/
/icm/
/icm2/
/inets/
/livewire/
/loginolb/loginolb
/netbnx/
/olbb/
/phcp
/sbuser/
/smallbiz/
/wcmpw/
/webcm/
/wire/
/wires/
2checkout\.com
\.com/k1/
ablv\.com
access\.jpmorgan\.com
access\.usbank\.com
accessbankplc\.com
accountoverview\.aspx
accurint\.com
achieveaccess\.citizensbank\.com
achpayment
achredirect\.aspx
achweb\.unionbank\.com
achworks\.com
alltimetreasury\.pacificcapitalbank\.com
alphabank\.com
amegybank\.com/
anb\.portalvault\.com
atbonlinebusiness\.com
auth\.umb\.com
authmaster\.nationalcity\.com
baltikums\.com
baltikums\.eu
banesco\.com\.pa
bankbyweb
bankfirst\.com
banking\.calbanktrust\.com
banking\.firsttennessee\.biz
banknet\.lv
bankofamerica\.com
bankofbermuda\.com
bankofcyprus\.com
bankonline\.sboff\.com
bankonline\.umpquabank\.com
bbo\.1stsource\.com
bib\.lv
billauth
billmenu
bizcurrency\.com
blilk
bmo\.com/
bmoharrisprivatebankingonline\.com
bmomutualfunds\.com
bnycash\.bankofny\.com
bob\-w\.
bob\.sovereignbank\.com
bolb\-east\.associatedbank\.com
bolb\-west\.associatedbank\.com
bolb\.
boveda\.banamex\.com\.mx
bscincky\.com
business\.macu\.com
business\.netbankerplus\.com
business\.swedbank\.lv
business_solutions
businessaccess\.citibank\.citigroup\.com
businessappshome
businessbanking\.cibc\.com
businessclassonline\.compassbank\.com
businesslogin
businessmanager\.com
businessonline
businessportal\.mibank\.com
butterfieldonline\.ky
bxs\.com
cashanalyzer\.com
cashmanager\.mizuhoe\-treasurer\.com
cashmgmt
cashmgt
cashproonline\.bankofamerica\.com
cashproweb\.com/cpwportal
cbbusinessonline\.com
cbonline
cencorpcu\.com
cencorpcu\.com/
cfgbusinessaccess\.com
chase\.com
checkgateway
checkout\.com/va/login
cib\.bankofthewest
cibconline\.cibc\.com
cimbanque\.net
citizensbankmoneymanagergps\.com
cmachm\.w
cmbmnt\.w
cmol\.bbt\.com/auth
cmwirp\.w
cnbsec1\.
colb\.
comerica\.com
commercebusinessdirect\.com
commercial\.wachovia\.com
commercialservices
connect\.bankcolonial\.com
connect\.colonialbank\.com
constitutioncorp\.org
corpach
corporate\.epfc\.com
corporateaccounts
corporatebankingweb
corporateconnect\.net
corpower\.coop
createcorpwire
createwire
cu\.com
cu\.org
danskebanka\.lv
db\-direct\.db\.com
directline4biz\.com
directnet\.com
e\-moneyger
e\-norvik\.lv
easywebcpo\.td\.com/waw/idp
ebanking\-services
ebemo\.bemobank\.com
ebill\.highmark\.com
ecash\.
ecm\-transfers\.unionbank\.com
ecms\.unionbank\.com
efirstbank\.com
ekp\.lv
enternetbank\.com
enterprise2\.openbank\.com
epd\.uscentral\.org
eurobankefg\.com
exact4web
exness\.com
express\.53\.com
expressdeposit\.colonialbank\.com
fbmedirect\.com
ffinonline\.com
ffrontier\.com
firstbancorp\.com
firstbanks\.com
firstcitizens\.com
fnfgbusinessonline\.enterprisebanker\.com
fxpayments\.americanexpress\.com
geonline\.lv
global1\.onlinebank\.com
global\-ebanking\.com
globalink\.leumiusa\.com
goldleaf
guard\.scotiabank\.com
handelsbanken\.lv
hbcash\.exe
hblibank\.com
hbproxy\.exe
hellenicnetbanking\.com
hillsbank\.com
hiponet\.lv
hkbea
hsbc\.com\.mx
https://(.+\.web\-access|webinfocus\.mandtbank)\.com/
https://(\w+\.)?aol.com
https://(\w+\.)?facebook.com/
https://(\w+\.)?google
https://(\w+\.)?live.com
https://(\w+\.)?twitter.com
https://(\w+\.)?vk.com
https://(\w+\.)?yahoo
https://(\w+\.)?youtube.com
https://(bolb\-(west|east)|www)\.associatedbank\.com/
https://(ecash\.|.+/cashman/)
https://(www\.|)cashanalyzer\.com/
https://(www\.|)efirstbank\.com/
https://(www\.|)enternetbank\.com/
https://(www\.|)nashvillecitizensbank\.com/
https://(www\.|)sterlingwires\.com/
https://(www\.|)svbconnect\.com/
https://(www\.|)treasury\.pncbank\.com/
https://.*businessmanager\.com/
https://.*citizensbank\.com/
https://.*ebanking-services\.com/
https://.*firstcitizens\.com/
https://.*secure\.fundsxpress\.com/
https://.+.tdcommercialbanking\.com/
https://.+/(wcmfd/wcmpw|phcp/servlet)/
https://.+/Common/SignOn/
https://.+/cmserver/
https://.+/ebc_ebc1961/
https://.+/onlineserv/CM/
https://.+\.53\.com/
https://.+\.blilk\.com/
https://.+\.ffinonline\.com/
https://.+\.ffrontier\.com/
https://.+\.firstmerit
https://.+\.jpmorgan\.com/
https://.+\.rbsm\.com/
https://.+\.tdcommercialbanking\.com/
https://.+\.unionbank\.com/
https://accounts.google.com/ServiceLogin
https://aol.com/.*/login/
https://banking\.calbanktrust\.com/
https://banking\.firsttennessee\.biz/
https://bnycash\.bankofny\.com/
https://business-eb\.ibanking-services\.com/
https://businessaccess\.citibank\.citigroup\.com/
https://businessonline\.huntington\.com/
https://businessonline\.tdbank\.com
https://businessonline\.tdbank\.com/
https://businessportal\.mibank\.com
https://cashmanager\.mizuhoe-treasurer.com/
https://cib\.bankofthewest\.com/
https://commercial\.wachovia\.com/Online/Financial/Business/
https://direct.53.com/
https://ifxmanager\.bnymellon\.com/
https://login.live.com/
https://login.yahoo.com/
https://securentrycorp\.
https://server\d+\.cey-ebanking\.com/CLKCCM/
https://singlepoint\.usbank\.com/
https://treas-mgt\.frostbank\.com/
https://trz\.tranzact\.org/
https://usgateway\d*\.rbs\.com/
https://webbankingforbusiness\.mandtbank\.com/
https://webcmpr\.bancopopular\.com/K1/
https://wellsoffice\.wellsfargo\.com/
https://www8\.comerica\.com/
https?://(www\.|)ffbtexas\.com/
https?://(www\d*\.|)(ntrs|northerntrust)\.com/
https?://.+\.bancosabadellmiami\.com/
i\-linija\.lt
ib\.dnb\.lv
ibanking\-services\.com
ibbpl2\.com
ibbpowerlink\.com
ibbusinessnet\.com
ibcbankonline\.ibc\.com
ifxmanager\.bankofny\.com
ifxmanager\.bnymellon\.com
inetbanker
injectreceiver
internationalbanking\.
internationalpayments\.
internet\-ebanking\.com
internetbanker\.cc
itinternet\.net
itreasury\.amsouth\.com
ktt\.key\.com
lakelandbank\.com
libertymutualbusinessdirect\.com
lionbank\.com
login_business\.asp
logincm
loyalbank\.com
lv\.unicreditbanking\.net
marfinbank\.com\.cy
mbachexpress\.com
mcb\-home\.com/online
memberach
metrobankdirect\.com
midatlanticcorp\.org
moneymanagergps\.com
multinetbank\.eu
my\.statestreet\.com
mycorporate\.org
myonline\.bankbv\.com
myonlineservices\.cbolobank\.com
nashvillecitizensbank\.com
nationalcity\.com/consultnc
nbarizona\.com/login_business\.jsp
nbb\.controlsecure\.com
ncms\-inc\.com
netteller
nfbconnect\.com
northbaybancorp\.com
northerntrust\.com
norvik\.lv
nsbank\.com
ntrs\.com
nubi
olb\.
olb\.ent\.com/business/
online\-offshore\.lloydstsb\.com
online\.1stnb\.com
online\.alphabank\.com
online\.citadele\.lv
online\.dollarbank\.com
online\.ibl\.com\.lb
online\.lkb\.lv
online\.ovcb\.com
online\.usb\.com\.cy
online\.wilberbank\.com
onlineaccess1\.com
onlinebank\.wesbanco\.com
onlinebanker
onlinebanking\.1stunitedbankfl\.com
onlinebanking\.banksterling\.com
onlinencr\.com
onlineserv/cm/
otm\.suntrust\.com
pacificenterprisebank\.com
parex\.lv
passport\.texascapitalbank\.com
pastabanka\.lv
paylinks\.cunet\.org
payroll\.faces
phcp/servlet
piraeusbank\.com
plainscapital\.gfxwebwire\.com
portfolioonline\.metavante\.com
premierview\.membersunited\.org
pres_wa_wires
privatbank\.lv
pub/html
rbs\.com/wps/portal/
rbs_commercial
rbscoutts\.com
rbsidigital\.com
rbsiibanking\.com
rbsm\.com
rbworld\.lv
rcbcy\.com
rietumu\.lv
royalbank\.com/cgi\-bin/rbaccess
rsagoidauthentication
s2b\.
sampopank
sandyspringbank\.com
scotiaconnect\.scotiabank\.com
scottvalleybank\.com
seb\.ee
seb\.lt
seb\.lv
secure2\.umb\.com
secure\-banking
secure\-eccu\.org
secure\-nvboh\.com/
secure\.1stfedbank\.com
secure\.accesshorizon\.com
secure\.ally\.com
secure\.bancinternetgroup\.com
secure\.currency\.lloydstsb\-offshore\.com
secure\.dalhartfederal\.com
secure\.fnbhutch\.com
secure\.fsbperkasie\.com
secure\.fundsxpress\.com
secure\.ltbbank\.com
secure\.ltblv\.com
securebanking\.cbtks\.com
securentry
secureport\.texascapitalbank\.com
server14\.cey\-ebanking\.com
servlet/teller
singlepoint\.usbank\.com
site\-secure\.com/tekportfolio
snoras\.com
solutions\-corporate\.com
springbankconnect\.com/views/login/
ssl\.selectpayment\.com/mp
sso\.uboc
sso\.unionbank\.com
statebanktx\.com/cgi\-bin/prosperity\.asp
sterlingpayment\.com
sterlingwires\.com
suntrust\.omniasp\.com
svbconnect
swedbank\.lv
swifttransfer
tabbank\.com
tbb\.ee
tdcommercialbanking
telepc\.net
top\.capitalonebank\.com
towernet\.capitalonebank\.com
trast\.net
trastnet\.tkb\.com\.cy
treas\-mgt\.frostbank\.com
treasury\.pncbank\.com
treasury\.wamu\.com
treasurydirect\.tdbank\.com
treasurylinkweb\.com
treasurypathways\.com
treasuryservices\.banknow\.texascapitalbank\.com
trustmark\.openbank\.com
trustweb\.com
trz\.tranzact\.org
ub\.lt
unitedbankwi\.com
usgateway2\.rbs\.com
valartis\.at
valartis\.li
vectrabank\.com/busi_bank_00\.jsp
vpbank\.com
vpn1\.
wblnk\.
wcma\.businesscenter\.ml\.com
wcmfd/wcmpw
web\-access
web\.accessor\.com
webbankingforbusiness\.mandtbank\.com
webcash
webcashmgmt\.com
webexpress
webinfocus\.mandtbank\.com
weblink\.websterbank\.com
wellsoffice\.wellsfargo\.com
westernbankcash\.com
westernetbank\.com
westfield\.accounts\-in\-view\.com
wiretransfer
wtdirect\.com

その他

ワームは、自身（コンピュータに侵入して最初に自身のコピーを作成したワーム）を削除します。

対応方法

対応検索エンジン: 9.300

初回 VSAPI パターンバージョン 9.512.03

初回 VSAPI パターンリリース日 2012年11月7日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「WORM_CRIDEX.SS」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

TROJ_KRYPTIK.S

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows NT
- {random}

手順 5

このレジストリ値を削除します。

[ 詳細 ]

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- KB{random number}.exe = "%User Profile%\Application Data\KB{random number}.exe"

手順 6

以下のフォルダを検索し削除します。

[ 詳細 ]

フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%User Profile%\Application Data\{random folder}
{drive letter}\{random folder}

手順 7

「WORM_CRIDEX.SS」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。

[ 詳細 ]

手順 8

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「WORM_CRIDEX.SS」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください