WORM_DORKBOT
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
これは、複数の「WORM_DORKBOT」の亜種を解析した結果に基づいた説明です。ファイル名およびレジストリ値といった具体的な情報は、亜種によって異なります。
ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 ワームは、他のマルウェアに作成され、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ワームは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。
ワーム マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した ワーム )を削除します。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。
ワームは、他のマルウェアに作成され、コンピュータに侵入します。
ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "%User Profile%\Application Data\{malware file name}.exe"
感染活動
ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- {drive letter}:\RECYCLER
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {drive letter}:\RECYCLER\{random characters}.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[AutoRun]
;{garbage characters}
shellexecute=RECYCLER\{malware file name}.exe
;{garbage characters}
icon=shell32.dll,7
;{garbage characters}
shell\open\command=RECYCLER\{malware file name}.exe
;{garbage characters}
action=Open folder to view files
;{garbage characters}
shell\explore\command=RECYCLER\{malware file name}.exe
;{garbage characters}
useautoplay=1
ワームは、以下のインスタントメッセンジャ(IM)を用いて、メッセージを送信します。このメッセージにはリンクが含まれており、リンク先のリモートサイトには、自身のコピーが組み込まれています。
- Windows Live Communicator
- MSN Messenger
- Pidgin
- Xchat
- mIRC
バックドア活動
ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- {BLOCKED}ebsite.com
- {BLOCKED}rebitch.com
- {BLOCKED}ney.biz
- {BLOCKED}ousez11.com
- {BLOCKED}g.{BLOCKED}oan.com
- {BLOCKED}g.{BLOCKED}opperz11.com
- {BLOCKED}g.{BLOCKED}ousez11.com
- {BLOCKED}g.{BLOCKED}allone.com
- {BLOCKED}g.{BLOCKED}ketbaby.com
- {BLOCKED}s.com
- {BLOCKED}ussy.info
- {BLOCKED}ctronix.com
- {BLOCKED}enial.com
- {BLOCKED}m.{BLOCKED}ch.ru
- {BLOCKED}g.{BLOCKED}ousez11.com
ルートキット機能
ワームは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。
その他
ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- http://api.wipmania.com/
ワーム は、自身(コンピュータに侵入して最初に自身のコピーを作成した ワーム )を削除します。
ユーザがURLに以下の文字列を含むWebサイトを閲覧した場合、ワームは、感染コンピュータのインターネット活動を監視し、ユーザの個人情報を収集します。
- *&Password=*
- *&txtPassword=*
- *.alertpay.*/*login.aspx
- *.moneybookers.*/*login.pl
- *1and1.com/xml/config*
- *4shared.com/login*
- *:2083/login*
- *:2086/login*
- *alertpay.com/login*
- *aol.*/*login.psp*
- *bcointernacional*login*
- *bigstring.*/*index.php*
- *depositfiles.*/*/login*
- *dotster.com/*login*
- *dyndns*/account*
- *enom.com/login*
- *facebook.*/login.php*
- *fastmail.*/mail/*
- *fileserv.com/login*
- *fileserve.*/login*
- *filesonic.com/*login*
- *FLN-Password=*
- *freakshare.com/login*
- *gmx.*/*FormLogin*
- *godaddy.com/login*
- *google.*/*ServiceLoginAuth*
- *hackforums.*/member.php
- *hotfile.com/login*
- *letitbit.net*
- *login.live.*/*post.srf*
- *login.yahoo.*/*login*
- *login_password=*
- *loginUserPassword=*
- *mediafire.com/*login*
- *megaupload.*/*login
- *megaupload.*/*login*
- *members*.iknowthatgirl*/members*
- *members.brazzers.com*
- *moniker.com/*Login*
- *namecheap.com/*login*
- *netflix.com/*ogin*
- *netload.in/index*
- *no-ip*/login*
- *officebanking.cl/*login.asp*
- *oron.com/login*
- *pass=*
- *passwd=*
- *password=*
- *password]=*
- *paypal.*/webscr?cmd=_login-submit*
- *runescape*/*weblogin*
- *screenname.aol.*/login.psp*
- *secure.logmein.*/*logincheck*
- *sendspace.com/login*
- *service=youtube*
- *signin.ebay*SignIn
- *sms4file.com/*/signin-do*
- *speedyshare.com/login*
- *steampowered*/login*
- *TextfieldPassword=*
- *thepiratebay.org/login*
- *torrentleech.org/*login*
- *twitter.com/sessions
- *uploaded.to/*login*
- *uploading.com/*login*
- *vip-file.com/*/signin-do*
- *webnames.ru/*user_login*
- *what.cd/login*
- *youporn.*/login*
- EmailName
- FLN-Password
- FLN-UserName
- login
- login_email
- login_password
- loginId
- loginUserName
- loginUserPassword
- Passwd
- Password
- quick_password
- quick_username
- screenname
- session[password]
- session[username_or_email]
- TextfieldEmail
- TextfieldPassword
- txtEmail
- txtPassword
- username
ワームは、以下のWebサイトで使用されているユーザの個人情報を収集します。
- AlertPay
- AOL
- BigString
- DynDNS
- Fastmail
- FileServe
- Gmail
- GMX
- Hackforums
- LogMeIn
- Megaupload
- Moneybookers
- No-IP
- NoIP
- OfficeBanking
- PayPal
- Runescape
- Steam
- Windows Live
- Yahoo
- Yahoo!
- YouTube
ワームは、以下のバックドア活動を行います。
- DNSのブロック
- プロセスの追加
- 他のファイルのダウンロード
- HTMLファイルへiframe タグを挿入
- IRCチャンネルへの接続
- FTPサイトへのログイン
- Slowloris攻撃、UDP攻撃およびSYNフラッド攻撃の実行
- 逆Socks4プロキシサーバの実行
- インスタントメッセンジャ「MSNメッセンジャー」を用いたメッセージの送信
- ログイン認証情報の収集
- 自身の更新
- Webサイトの閲覧
ワームは、ユーザが以下のアプリケーションを利用することを妨害します。
- cmd.exe
- ipconfig.exe
- regedit.exe
- regsvr32.exe
- rundll32.exe
- verclsid.exe
ワームは、ユーザが以下の文字列をURLに含むWebサイトへアクセスすることを妨害します。
- avast.
- avg.
- avira.
- bitdefender.
- bullguard.
- clamav.
- comodo.
- emsisoft.
- eset.
- fortinet.
- f-secure.
- garyshood.
- gdatasoftware.
- heck.tc
- iseclab.
- jotti.
- kaspersky.
- lavasoft.
- malwarebytes.
- mcafee.
- norman.
- norton.
- novirusthanks.
- onecare.live.
- onlinemalwarescanner.
- pandasecurity.
- precisesecurity.
- sophos.
- sunbeltsoftware.
- symantec
- threatexpert.
- trendmicro.
- virscan.
- virus.
- virusbuster.nprotect.
- viruschief.
- virustotal.
- webroot.
ワームは、以下のAPIをフックすることで、自身を隠ぺいし、不正活動を展開し易くします。
- CopyFileA
- CopyFileW
- CreateFileA
- CreateFileW
- DeleteFileA
- DeleteFileW
- DnsQuery_A
- DnsQuery_W
- GetAddrInfoW
- HttpSendRequestA
- HttpSendRequestW
- InternetWriteFile
- LdrEnumerateLoadedModules
- LdrGetDllHandle
- LdrGetProcedureAddress
- LdrLoadDll
- MoveFileA
- MoveFileW
- NtEnumerateValueKey
- NtQueryDirectoryFile
- NtQueryInformationProcess
- NtQueryInformationThread
- NtQuerySystemInformation
- NtQueryVirtualMemory
- PR_Write
- RegCreateKeyExA
- RegCreateKeyExW
- RtlAnsiStringToUnicodeString
- URLDownloadToFileA
- URLDownloadToFileW
ワームは、、リムーバブルドライブ内に自身のコピーに誘導するショートカットファイル(拡張子LNK)を作成します。ワームは、作成したLNKファイルのファイル名に、そのリムーバブルドライブに存在するフォルダ名を利用します。そしてワームは、オリジナルのフォルダの属性を「隠しファイル」に設定し、ユーザがLNKファイルをクリックするように促します。
これは、複数の「WORM_DORKBOT」の亜種を解析した結果に基づいた説明です。ファイル名およびレジストリ値といった具体的な情報は、亜種によって異なります。
対応方法
トレンドマイクロのお客様:
最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。
インターネットをご利用の皆様:
- トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
- 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください