WORM_DORKBOT.TKF
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ワームは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。 ワームは、特定のWebサイトにアクセスし、情報を送受信します。
ワームは、ダウンロードしたファイルを実行します。
ワームは、実行後、自身を削除します。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\Application Data\{6 random characters}.exe
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- 470a1245
- dontfuckwithmekk
- whatwhatinthebuttsdfg345gersdf345dghe54645
ワームは、以下の通常のプロセスにスレッドを組み込みます。
- explorer.exe
- winlogon.exe
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{6 random characters} = "%User Profile%\Application Data\{6 random characters}.exe"
感染活動
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {drive letter}:\RECYCLER\470a1245.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[AutoRun]
;{garbage characters}
shellexecute=RECYCLER\470a1245.exe
;{garbage characters}
icon=shell32.dll,7
;{garbage characters}
shell\open\command=RECYCLER\470a1245.exe
;{garbage characters}
action=Open folder to view files
;{garbage characters}
shell\explore\command=RECYCLER\470a1245.exe
;{garbage characters}
useautoplay=1
バックドア活動
ワームは、不正リモートユーザからの以下のコマンドを実行します。
- Block DNS
- Create processes
- Download other files
- Insert iframe tags into HTML files
- Join an IRC channel
- Log in to FTP sites
- Perfrom Slowloris, UDP, and SYN flooding
- Run Reverse Socks4 proxy server
- Send MSN Messenger messages
- Steal login credentials
- Update Itself
- Visit a Web Site
ワームは、以下のWebサイトにアクセスし、情報を送受信します。
- {BLOCKED}48.com:443
- {BLOCKED}1.com:443
- {BLOCKED}4.com:443
- {BLOCKED}25.com:443
ダウンロード活動
ワームは、以下のWebサイトにアクセスし、ファイルをダウンロードします。
- http://up.{BLOCKED}es.com/uploads/28_12_1213566658223.png
ワームは、以下のファイル名でダウンロードしたファイルを保存します。
- %User Profile%\Application Data\{random number}.exe - detected as TROJ_BITCOIN.TKF
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
ワームは、ダウンロードしたファイルを実行します。
その他
ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- http://api.wipmania.com/
ワームは、実行後、自身を削除します。
ワームは、ユーザのインターネット活動を監視します。ユーザがURLに以下の文字列を含むWebサイトへアクセスすると、ワームは、ユーザのログインIDやパスワード、Eメールアドレスを収集します。
- *.moneybookers.*/*login.pl
- *1and1.com/xml/config*
- *4shared.com/login*
- *:2082/login*
- *:2083/login*
- *:2086/login*
- *:2222/CMD_LOGIN*
- *FLN-Password=*
- *LoginPassword=*
- *Passwd=*
- *Password=*
- *TextfieldPassword=*
- *alertpay.com/login*
- *aol.*/*login.psp*
- *bcointernacional*login*
- *bebo.*/c/home/ajax_post_lifestream_comment
- *bebo.*/c/profile/comment_post.json
- *bebo.*/mail/MailCompose.jsp*
- *bigstring.*/*index.php*
- *clave=*
- *depositfiles.*/*/login*
- *dotster.com/*login*
- *dyndns*/account*
- *enom.com/login*
- *facebook.*/ajax/*MessageComposerEndpoint.php*
- *facebook.*/ajax/chat/send.php*
- *facebook.*/login.php*
- *fastmail.*/mail/*
- *fileserv.com/login*
- *filesonic.com/*login*
- *freakshare.com/login*
- *friendster.*/rpc.php
- *friendster.*/sendmessage.php*
- *gmx.*/*FormLogin*
- *godaddy.com/login*
- *google.*/*ServiceLoginAuth*
- *hackforums.*/member.php
- *hotfile.com/login*
- *letitbit.net*
- *login.live.*/*post.srf*
- *login.yahoo.*/*login*
- *loginUserPassword=*
- *login_password=*
- *mediafire.com/*login*
- *megaupload.*/*login*
- *members*.iknowthatgirl*/members*
- *members.brazzers.com*
- *moniker.com/*Login*
- *namecheap.com/*login*
- *netflix.com/*ogin*
- *netload.in/index*
- *officebanking.cl/*login.asp*
- *oron.com/login*
- *paypal.*/webscr?cmd=_login-submit*
- *runescape*/*weblogin*
- *screenname.aol.*/login.psp*
- *secure.logmein.*/*logincheck*
- *sendspace.com/login*
- *service=youtube*
- *signin.ebay*SignIn
- *sms4file.com/*/signin-do*
- *speedyshare.com/login*
- *steampowered*/login*
- *thepiratebay.org/login*
- *torrentleech.org/*login*
- *twitter.*/*direct_messages/new*
- *twitter.*/*status*/update*
- *twitter.com/sessions
- *uploaded.to/*login*
- *uploading.com/*login*
- *vip-file.com/*/signin-do*
- *vkontakte.ru/api.php
- *vkontakte.ru/mail.php
- *vkontakte.ru/wall.php
- *webnames.ru/*user_login*
- *what.cd/login*
- *whcms*dologin*
- *youporn.*/login*
ワームは、以下のWebサイトで使用されているユーザの認証情報を収集します。
- 1and1
- 4shared
- Alertpay
- Bcointernacional
- Bebo
- BigString
- Brazzers
- Clave
- Depositfiles
- Dotster
- DynDNS
- Ebay
- FLN-Password
- FLN-UserName
- Fastmail
- Fileserve
- Filesonic
- Freakshare
- Friendster
- Gmail
- Godaddy
- Hackforums
- Hotfile
- IKnowThatGirl
- Letitbit
- LogMeIn
- Mediafire
- Megaupload
- Message
- Moneybookers
- Moniker
- Namecheap
- Netflix
- Netload
- OfficeBanking
- Passwd
- PayPal
- Runescape
- Sendspace
- Sms4file
- Speedyshare
- Steam
- Thepiratebay
- Torrentleech
- Uploaded
- Uploading.com
- Vip-file
- Vkontakte
- Webnames
- Whatcd
- Yahoo
- YouPorn
- YouTube
またワームは、ユーザが以下のアプリケーションを使用することを妨害します。
- cmd.exe
- ipconfig.exe
- regedit.exe
- regsvr32.exe
- rundll32.exe
- verclsid.exe
ワームは、リムーバブルドライブ内の自身のコピーに誘導するショートカットファイル(拡張子LNK)も作成します。なお、作成したショートカットファイル名には、リムーバブルドライブ内に存在するフォルダ名を使用します。そして、名称を借用した実際のフォルダの方は、属性を「隠しファイル」に設定します。
ワームは、以下のインスタントメッセンジャ(IM)アプリケーションを用いてメッセージを送信します。このメッセージにはリンクが含まれており、リンク先のリモートサイトには、自身のコピーが組み込まれています。
- MSN メッセンジャー
- mIRC
ワームは、ルートキット機能を備えていません。
ワームは、脆弱性を利用した感染活動を行いません。
ワームがダウンロードおよび保存した以下のファイルは、「TROJ_BITCOIN.TKF」として検出されます。
- %User Profile%\Application Data\<ランダムな数値>.exe
ワームが実行するコマンドは、以下のとおりです。
- Domain Name System (DNS)のブロック
- プロセスの追加
- 他のファイルのダウンロード
- HTMLファイルに "iframe" タグの挿入
- IRCチャンネルへの参加
- UDPフラッドやSYNフラッド、Slowloris HTTP DoS攻撃の実行
- 「Reverse Socks4」プロキシサーバの実行
- 「MSNメッセンジャー」のメッセージの送信
- ログイン認証情報の収集
- 自身の更新
- Webサイトへのアクセス
- TROJ_BITCOIN.TKF
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {6 random characters} = "%User Profile%\Application Data\{6 random characters}.exe"
- {6 random characters} = "%User Profile%\Application Data\{6 random characters}.exe"
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「WORM_DORKBOT.TKF」 が作成またはダウンロードした不正なファイルを削除します。
手順 3
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「WORM_DORKBOT.TKF」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
手順 6
「WORM_DORKBOT.TKF」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。
;{garbage characters}
shellexecute=RECYCLER\470a1245.exe
;{garbage characters}
icon=shell32.dll,7
;{garbage characters}
shell\open\command=RECYCLER\470a1245.exe
;{garbage characters}
action=Open folder to view files
;{garbage characters}
shell\explore\command=RECYCLER\470a1245.exe
;{garbage characters}
useautoplay=1
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_DORKBOT.TKF」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください