Trend Micro Security

WORM_DISTTRACK.A

2012年8月17日
 解析者: Christopher Daniel So   

 別名:

Trojan:Win32/WipMBR.A (Microsoft), W32/DistTrack (McAfee)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 共有ネットワークフォルダを介した感染活動

トレンドマイクロは、このワームをNoteworthy(要注意)に分類しました

ワームは、感染コンピュータのマスター・ブート・レコード(MBR)を上書きするコンポーネントを備えています。

ワームは、作成されたファイルを実行します。


  詳細

ファイルサイズ 989,184 bytes
タイプ EXE
メモリ常駐 はい
発見日 2012年8月16日
ペイロード ファイルの作成

侵入方法

ワームは、ネットワーク共有フォルダを経由してコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\trksvr.exe

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

自動実行方法

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
ImagePath = "%System\trksvr.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
DisplayName = "Distributed Link Tracking Server"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
DependOnService = "RpcSs"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
DependOnGroup = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
Description = "Enables the Distributed Link Tracking Client service within the same domain to provide more reliable and efficient maintenance of links within the domain. If this service is disabled, any services that explicitly depend on it will fail to start."

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr

他のシステム変更

ワームは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\lanmanworkstation
DependOnService = "TrkSvr"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\lanmanworkstation
DependOnGroup = "0"

感染活動

ワームは、以下の共有フォルダ内に自身のコピーを作成します。

  • \\{IP address}\ADMIN$\system32\{random file name}.exe
  • \\{IP address}\C$\WINDOWS\system32\{random file name}.exe
  • \\{IP address}\D$\WINDOWS\system32\{random file name}.exe
  • \\{IP address}\E$\WINDOWS\system32\{random file name}.exe

作成活動

ワームは、以下のファイルを作成します。

  • %System%\{random file name}.exe - detected by Trend Micro as TROJ_WIPMBR.A
  • %System%\netinit.exe - detected by Trend Micro as TROJ_DISTTRACK.A

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

ワームは、作成されたファイルを実行します。

その他

ワームが作成するファイルは以下のとおりです。

  • %System%\{random file name}.exe - 「TROJ_WIPMBR.A」として検出
  • %System%\netinit.exe - 「TROJ_DISTTRACK.A」として検出

コマンドラインのパラメータが特定される場合、ワームは以下のように自身のコピーを作成します。

  • \\<コマンドラインのパラメータ>\ADMIN$\system32\{random file name}.exe
  • \\<コマンドラインのパラメータ>\C$\WINDOWS\system32\{random file name}.exe
  • \\<コマンドラインのパラメータ>\D$\WINDOWS\system32\{random file name}.exe
  • \\<コマンドラインのパラメータ>\E$\WINDOWS\system32\{random file name}.exe

「{random file name}」 は、以下の中からランダムに選択されます。

  • caclsrv
  • certutl
  • clean
  • ctrl
  • dfrag
  • dnslookup
  • dvdquery
  • event
  • extract
  • findfile
  • fsutl
  • gpget
  • iissrv
  • ipsecure
  • msinit
  • netx
  • ntdsutl
  • ntfrsutil
  • ntnw
  • power
  • rdsadmin
  • regsys
  • routeman
  • rrasrv
  • sacses
  • sfmsc
  • sigver
  • smbinit
  • wcscript


  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 9.328.04
初回 VSAPI パターンリリース日 2012年8月16日
VSAPI OPR パターンバージョン 9.329.00
VSAPI OPR パターンリリース日 2012年8月17日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「WORM_DISTTRACK.A」 が作成またはダウンロードした不正なファイルを削除します。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • TrkSvr

手順 5

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation
    • DependOnService = "TrkSvr"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation
    • DependOnGroup = "0"

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_DISTTRACK.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください