WORM_DORKBOT.DCL
W32/Dorkbot.BAA!tr (Fortinet)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 ワームは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\Application Data\{random}.exe
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
ワームは、以下の通常のプロセスにスレッドを組み込みます。
- explorer.exe
- winlogon.exe
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%User Profile%\Application Data\{random}.exe"
感染活動
ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- {Removable Drive}:\RECYCLER
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {Removable Drive}:\RECYCLER\{random}.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[AutoRun]
;{garbage characters}
shellexecute=RECYCLER\{random}.exe
;{garbage characters}
icon=shell32.dll,7
;{garbage characters}
shell\open\command=RECYCLER\{random characters}.exe
;{garbage characters}
action=Open folder to view files
;{garbage characters}
shell\explore\command=RECYCLER\{random}}.exe
;{garbage characters}
useautoplay=1
ワームは、以下のインスタントメッセンジャ(IM)を用いて、メッセージを送信します。このメッセージにはリンクが含まれており、リンク先のリモートサイトには、自身のコピーが組み込まれています。
- MSN Messenger
- mIRC
バックドア活動
ワームは、不正リモートユーザからの以下のコマンドを実行します。
- Block DNS
- Create processes
- Download other files
- Insert iFrame tags into HTML files
- Join an IRC channel
- Log in to FTP sites
- Perform Slowloris, UDP, and SYN flooding
- Run Reverse Socks4 proxy server
- Send MSN Messenger messages
- Steal login credentials
- Update itself
- Visit a web site
ワームは、以下のWebサイトにアクセスし、情報を送受信します。
- {BLOCKED}8.com
- {BLOCKED}1.com
- {BLOCKED}4.com
- {BLOCKED}arorz.com
- ns1.{BLOCKED}f.net
- {BLOCKED}.160.19
- {BLOCKED}.160.22
- {BLOCKED}.161.19
- {BLOCKED}.161.22
その他
ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- http://api.wipmania.com/
ワームは、ユーザのWebブラウザ上での活動を監視します。ワームは、ユーザがアクセスしたWebサイトが以下の文字列を含んでいた場合、ユーザのログインIDやパスワード、Eメールを収集します。
- *.moneybookers.*/*login.pl
- *1and1.com/xml/config*
- *4shared.com/login*
- *:2082/login*
- *:2083/login*
- *:2086/login*
- *:2222/CMD_LOGIN*
- *FLN-Password=*
- *LoginPassword=*
- *Passwd=*
- *Password=*
- *TextfieldPassword=*
- *alertpay.com/login*
- *aol.*/*login.psp*
- *bcointernacional*login*
- *bebo.*/c/home/ajax_post_lifestream_comment
- *bebo.*/c/profile/comment_post.json
- *bebo.*/mail/MailCompose.jsp*
- *bigstring.*/*index.php*
- *clave=*
- *depositfiles.*/*/login*
- *dotster.com/*login*
- *dyndns*/account*
- *enom.com/login*
- *facebook.*/ajax/*MessageComposerEndpoint.php*
- *facebook.*/ajax/chat/send.php*
- *facebook.*/login.php*
- *fastmail.*/mail/*
- *fileserv.com/login*
- *filesonic.com/*login*
- *freakshare.com/login*
- *friendster.*/rpc.php
- *friendster.*/sendmessage.php*
- *gmx.*/*FormLogin*
- *godaddy.com/login*
- *google.*/*ServiceLoginAuth*
- *hackforums.*/member.php
- *hotfile.com/login*
- *letitbit.net*
- *login.live.*/*post.srf*
- *login.yahoo.*/*login*
- *loginUserPassword=*
- *login_password=*
- *mediafire.com/*login*
- *megaupload.*/*login*
- *members*.iknowthatgirl*/members*
- *members.brazzers.com*
- *moniker.com/*Login*
- *namecheap.com/*login*
- *netflix.com/*ogin*
- *netload.in/index*
- *officebanking.cl/*login.asp*
- *oron.com/login*
- *paypal.*/webscr?cmd=_login-submit*
- *runescape*/*weblogin*
- *screenname.aol.*/login.psp*
- *secure.logmein.*/*logincheck*
- *sendspace.com/login*
- *service=youtube*
- *signin.ebay*SignIn
- *sms4file.com/*/signin-do*
- *speedyshare.com/login*
- *steampowered*/login*
- *thepiratebay.org/login*
- *torrentleech.org/*login*
- *twitter.*/*direct_messages/new*
- *twitter.*/*status*/update*
- *twitter.com/sessions
- *uploaded.to/*login*
- *uploading.com/*login*
- *vip-file.com/*/signin-do*
- *vkontakte.ru/api.php
- *vkontakte.ru/mail.php
- *vkontakte.ru/wall.php
- *webnames.ru/*user_login*
- *what.cd/login*
- *whcms*dologin*
- *youporn.*/login*
ワームは、以下のWebサイトで使用されているユーザの個人情報を収集します。
- 1and1
- 4shared
- Alertpay
- Bcointernacional
- Bebo
- BigString
- Brazzers
- Clave
- Depositfiles
- Dotster
- DynDNS
- Ebay
- FLN-Password
- FLN-UserName
- Fastmail
- Fileserve
- Filesonic
- Freakshare
- Friendster
- Gmail
- Godaddy
- Hackforums
- Hotfile
- IKnowThatGirl
- Letitbit
- LogMeIn
- Mediafire
- Megaupload
- Message
- Moneybookers
- Moniker
- Namecheap
- Netflix
- Netload
- OfficeBanking
- Passwd
- PayPal
- Runescape
- Sendspace
- Sms4file
- Speedyshare
- Steam
- Thepiratebay
- Torrentleech
- Uploaded
- Uploading.com
- Vip-file
- Vkontakte
- Webnames
- Whatcd
- Yahoo
- YouPorn
- YouTube
ワームは、ユーザによる以下のアプリケーションの使用を妨害します。
- cmd.exe
- ipconfig.exe
- regedit.exe
- regsvr32.exe
- rundll32.exe
- verclsid.exe
ワームは、リムーバブルドライブ内の自身のコピーに誘導するショートカットファイル(拡張子LNK)も作成します。なお、作成したショートカットファイル名には、リムーバブルドライブ内に存在するフォルダ名を使用します。
このショートカットファイルのプロパティのリンク先は、以下の形式を含んでいます
- %windir%\system32\cmd.exe /c "start %cd%RECYCLER\{random}.exe &&%windir%\explorer.exe %cd%RSA
ワームは、このフォルダの属性を「隠しファイル」に設定します。
ワームは、以下のソーシャル・ネットワーキング・サービス(SNS)を介して感染活動を行います。
- Bebo (コメント、メッセージ)
- Friendster (メッセージ、コメント、ショートカット、シャウトアウト、チャット)
- Twitter (つぶやき、メッセージ)
- Facebook (メッセージ、チャット、近況)
ワームは、ユーザが以下の文字列を含むWebサイトへアクセスするかどうかを監視します。
- avast
- avira
- bitdefender
- bullguard
- clamav
- comodo
- emsisoft
- eset
- f-secure
- fortinet
- garyshood
- gdatasoftware
- heck.tc
- iseclab
- jotti
- kaspersky
- lavasoft
- malwarebytes
- mcafee
- norman
- norton
- novirusthanks
- nprotect
- onecare.live
- onlinemalwarescanner
- pandasecurity
- precisesecurity
- sophos
- sunbeltsoftware
- symantec
- threatexpert
- trendmicro
- virscan
- virus
- virusbuster
- viruschief
- virustotal
- webroot
ワームは、ルートキット機能を備えていません。
ワームは、脆弱性を利用した感染活動を行いません。
ワームが実行するコマンドは、以下のとおりです。
- Domain Name System (DNS)のブロック
- プロセスの作成
- 他のファイルのダウンロード
- "iframe" タグをHTMLファイルに挿入する
- IRCチャンネルへの参加
- FTPサイトへのログイン
- UDPフラッドやSYNフラッド、Slowloris攻撃の実行
- Socks4プロトコルを使用するリバースプロキシサーバの起動
- インスタントメッセンジャ「MSNメッセンジャー」のメッセージの送信
- ログイン認証情報の収集
- 自身の更新
- Webサイトの閲覧
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「WORM_DORKBOT.DCL」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random} = "%User Profile%\Application Data\{random}.exe"
- {random} = "%User Profile%\Application Data\{random}.exe"
手順 5
「WORM_DORKBOT.DCL」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。
;{garbage characters}
shellexecute=RECYCLER\{random}.exe
;{garbage characters}
icon=shell32.dll,7
;{garbage characters}
shell\open\command=RECYCLER\{random characters}.exe
;{garbage characters}
action=Open folder to view files
;{garbage characters}
shell\explore\command=RECYCLER\{random}}.exe
;{garbage characters}
useautoplay=1
手順 6
以下のフォルダを検索し削除します。
- {Removable Drive}:\RECYCLER
手順 7
「WORM_DORKBOT.DCL」として検出されたファイルを検索し削除します。
手順 8
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_DORKBOT.DCL」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください