Trend Micro Security

WORM_DOWNAD.BP

2014年5月7日
 解析者: Adrian Cofreros   
 更新者 : Jaime Benigno Reyes

 別名:

Worm:Win32/Conficker.C(Microsoft),Net-Worm.Win32.Kido.ih(Kaspersky),Worm/Conficker.Z.30

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 フラッシュドライブを介した感染活動, インターネットからのダウンロード, 他のマルウェアからの作成

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、バックドア活動の機能を備えていません。


  詳細

ファイルサイズ 168,371 bytes
タイプ DLL
メモリ常駐 はい
発見日 2010年11月17日
ペイロード URLまたはIPアドレスに接続, ファイルの作成

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のコンポーネントファイルを作成します。

  • %System%\{random number}.tmp - detected as TROJ_DOWNAD.E

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\{random file name}.dll

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自動実行方法

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
DisplayName = "{random}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
Type = "32"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
Description = "{long sentences}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
ImagePath = "%System Root%\system32\svchost.exe -k netsvcs"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}\Parameters
ServiceDll = %System%\{random file name}.dll

ワームは、作成されたコンポーネントをシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
DisplayName = "{random}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
Type = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
Start = "3"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
ImagePath = "%System%\{random number}.tmp"

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}

ワームは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

(註:変更前の上記レジストリ値は、「"1"」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "0"

(註:変更前の上記レジストリ値は、「"1"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "0"

(註:変更前の上記レジストリ値は、「"1"」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "4"

(註:変更前の上記レジストリ値は、「"2"」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

(註:変更前の上記レジストリ値は、「"2"」となります。)

ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
{random port number}:TCP = "{random port number}:TCP:*:Enabled:{random value}"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • {removable drive letter}:\RECYCLER
  • {removable drive letter}:\RECYCLER\{SID}

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {removable drive letter}:\RECYCLER\{SID}\jwgkvsq.vmx

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

;{garbage characters}
[AUTorUN
;{garbage characters}
AcTION=Open folder to view files
;{garbage characters}
icon=%syStEmrOot%\sySTEM32\sHELL32.Dll ,4
;{garbage characters}
shelLExECUte=RuNdLl32.EXE .\RECYCLER\{SID}\jwgkvsq.vmx,ahaezedrn
;{garbage characters}

バックドア活動

ワームは、バックドア活動の機能を備えていません。

その他

ワームは、以下のタイムサーバにアクセスし、現在の日付を確認します。

  • http://www.w3.org

ワームが作成する以下のコンポーネントファイルは、「TROJ_DOWNAD.E」として検出されます。

  • %System%\{random number}.tmp

ワームは、以下のユーザ名およびパスワードのリストを用いて、パスワード保護された共有ファイルにアクセスします。

  • 99999999
  • 9999999
  • 999999
  • 99999
  • 88888888
  • 8888888
  • 888888
  • 88888
  • 77777777
  • 7777777
  • 777777
  • 77777
  • 66666666
  • 6666666
  • 666666
  • 66666
  • 55555555
  • 5555555
  • 555555
  • 55555
  • 44444444
  • 4444444
  • 444444
  • 44444
  • 33333333
  • 3333333
  • 333333
  • 33333
  • 22222222
  • 2222222
  • 222222
  • 22222
  • 11111111
  • 1111111
  • 111111
  • 11111
  • 00000000
  • 0000000
  • 00000
  • 0987654321
  • 987654321
  • 87654321
  • 7654321
  • 654321
  • 54321
  • zzzzz
  • xxxxx
  • qqqqq
  • aaaaa
  • intranet
  • controller
  • killer
  • games
  • private
  • market
  • coffee
  • cookie
  • forever
  • freedom
  • student
  • account
  • academia
  • files
  • windows
  • monitor
  • unknown
  • anything
  • letitbe
  • letmein
  • domain
  • access
  • money
  • campus
  • explorer
  • exchange
  • customer
  • cluster
  • nobody
  • codeword
  • codename
  • changeme
  • desktop
  • security
  • secure
  • public
  • system
  • shadow
  • office
  • supervisor
  • superuser
  • share
  • super
  • secret
  • server
  • computer
  • owner
  • backup
  • database
  • lotus
  • oracle
  • business
  • manager
  • temporary
  • ihavenopass
  • nothing
  • nopassword
  • nopass
  • Internet
  • internet
  • example
  • sample
  • love123
  • boss123
  • work123
  • home123
  • mypc123
  • temp123
  • test123
  • qwe123
  • abc123
  • pw123
  • root123
  • pass123
  • pass12
  • pass1
  • admin123
  • admin12
  • admin1
  • password123
  • password12
  • password1
  • default
  • foobar
  • foofoo
  • temptemp
  • testtest
  • rootroot
  • adminadmin
  • mypassword
  • mypass
  • Login
  • login
  • Password
  • password
  • passwd
  • zxcvbn
  • zxcvb
  • zxccxz
  • zxcxz
  • qazwsxedc
  • qazwsx
  • q1w2e3
  • qweasdzxc
  • asdfgh
  • asdzxc
  • asddsa
  • asdsa
  • qweasd
  • qwerty
  • qweewq
  • qwewq
  • nimda
  • administrator
  • Admin
  • admin
  • a1b2c3
  • 1q2w3e
  • 1234qwer
  • 1234abcd
  • 123asd
  • 123qwe
  • 123abc
  • 123321
  • 12321
  • 123123
  • 1234567890
  • 123456789
  • 12345678
  • 1234567
  • 123456
  • 12345

ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを取得します。またインターネットの接続を確認します。

  • http://www.{BLOCKED}p.org
  • http://www.whatsmyipaddress.com
  • http://www.whatismyip.org
  • http://checkip.dyndns.org

実行されると、ワームは、マルウェアのパスのルートドライブ下のファイルを表示するウィンドウを開き、ユーザから自身の不正活動を隠ぺいします。

ワームは、実行後、自身のファイル属性を読み取り専用、非表示およびシステムに変更します。

ワームは、文字列を生成および以下の拡張子を付加することにより、現在の日付に基づいたURLを作成します

  • .biz
  • .info
  • .org
  • .net
  • .com
  • .ws
  • .cn
  • .cc

ワームはまた、生成されたURLのいずれかがアクティブな状態にあるか確認します。そして、ワームは、スレッドを作成し、ファイルをダウンロードして実行します。これにより、ホスト名がIPアドレスに変換され、以下のURLを完成します。

  • http://{IP address}/search?q=11

ワームは、以下の文字列を含むセキュリティ対策関連Webサイトを、ユーザが閲覧できないようにします。

  • ahnlab
  • arcabit
  • avast
  • avg
  • avira
  • avp
  • bit9.
  • castlecops
  • centralcommand
  • clamav
  • comodo
  • computerassociates
  • cpsecure
  • defender
  • drweb
  • emsisoft
  • esafe
  • eset
  • etrust
  • ewido
  • f-prot
  • f-secure
  • fortinet
  • gdata
  • grisoft
  • hacksoft
  • hauri
  • ikarus
  • jotti
  • k7computing
  • kaspersky
  • malware
  • mcafee
  • microsoft
  • networkassociates
  • nod32
  • norman
  • norton
  • panda
  • pctools
  • prevx
  • quickheal
  • rising
  • rootkit
  • sans.
  • securecomputing
  • sophos
  • spamhaus
  • spyware
  • sunbelt
  • symantec
  • threatexpert
  • trendmicro
  • virus
  • wilderssecurity
  • windowsupdate

ワームは、以下のソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。

ワームは、メモリ内の "TCPIP.SYS" に修正パッチを当て、 Windows XP Service Pack 2を実行しているコンピュータで設定されているTCP同時接続数の制限を変更します。ワームは、特定のメモリ位置に "TCPIP.SYS" をロードすることにより、これを行います。ワームは、その後、TMPファイル "%System%\0{random number}.tmp" を作成します。 このTMPファイル により、 "TcpIp_Perf" という名称のデバイスオブジェクトを作成して、メモリ内にロードされた "TCPIP.SYS" にリンクします。ワームは、リンクされたデバイスオブジェクトにコントロールコード(パッチコード)を送信します。

ワームは、他のマルウェアが利用する機能をエクスポートします。ワームは、このファイルの作成時間を正規のWindowsファイル "KERNEL32.DLL" の作成時間と同様に設定します。この正規のファイルもWindowsシステムフォルダ内にあります。これにより、ワームは、感染したコンピュータ上に追加された新しいファイルとして容易に検出されることを避けます。

コンピュータがWindows Vistaで実行されている場合、ワームは、以下のコマンドを実行し自動チューニング機能を無効にします。

  • netsh interface tcp set global autotuning=disabled

ワームは、マイクロソフト社の特定のOSの脆弱性を利用し、感染活動を行います。この脆弱性により、感染したコンピュータが特別に細工されたRPCリクエストを着信すると、リモートコードが実行されます。このコードは、シェルコードも含みます。この脆弱性の詳細は、以下のWebサイトをご参照ください。

この不正なRPCリクエストが、脆弱性を含んだコンピュータ内で受信されると、まずシェルコードが解読されます。そして特定のAPIを取得します。このAPIは、感染したコンピュータからワームのコピーをダウンロードする機能を備えています。むろんこの時点で感染したコンピュータは、HTTPサーバに変換されています。そして、感染したコンピュータは、ランダムなTCPポートを開きます。これにより、脆弱性を含んだコンピュータは、自身を以下のURLに接続させることが可能になります。

  • http://{IP address of the affected machine}:{random port generated by this worm}/{malware file name composed of random characters}

ワームは、エクスプロイトコードをランダムなインターネットアドレスに送信することにより、インターネットを介しても感染活動を行います。ワームは、まずHTTPサーバとなるランダムなポートを開き、インターネット上に発信します。これにより、インターネットを介しての自由なアクセスが可能になります。ワームは、コンピュータの外部IPアドレスを取得し、そのコンピュータがインターネットへ直に接続しているかを確認します。直のアクセスが確立すると、ワームは、インターネットを介してエクスプロイトコードを発信します。イーサネットかモデムドライバの外部IPアドレスおよび環境設定IPアドレスを確認することによりこれを行います。

ワームは、コンピュータへのアクセスに成功すると、ランダムな名称のファイルを用い、感染コンピュータのユーザの認証情報を利用して"Admin$\System32"フォルダ 内に自身のコピーを作成します。ネットワーク上での感染活動に成功すると、 "NetScheduleJobAdd" APIを用いてフォルダ "%Windows%\Tasks" 内にスケジュール化されたタスクが作成され、作成された自身のコピーが実行されます。作成されたジョブファイル内のスケジュール化された実行時間は、 "GetLocalTime" APIから取得されます。

ワームは、UTC (協定世界時)に基づき、250のランダムなWebサイトを含むURLのリストを毎日作成します。

ワームは、生成されたURLのいずれかがアクティブな状態にあるか確認します。ワームは、スレッドを作成し、ファイルをダウンロードして実行します。これにより、ホスト名がIPアドレスに変換され、以下のようなURLを完成します。

  • http://{IP address}/search?q=0

ワームは、以下のAPIをフックします。この結果、インターネットに接続されると、ウイルス対策に関連するWebサイトのリストがフィルタリングされます。

  • DnsQuery_A
  • DnsQuery_UTF8
  • Query_Main

  •   対応方法

    対応検索エンジン: 9.700
    初回 VSAPI パターンバージョン 10.758.06
    初回 VSAPI パターンリリース日 2014年4月28日
    VSAPI OPR パターンバージョン 10.759.00
    VSAPI OPR パターンリリース日 2014年4月29日

    手順 1

    Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

    手順 2

    このマルウェアのパス名およびファイル名を確認します。
    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「WORM_DOWNAD.BP」で検出したパス名およびファイル名を確認し、メモ等をとってください。

    手順 3

    Windowsをセーフモードで再起動します。

    [ 詳細 ]

    手順 4

    「WORM_DOWNAD.BP」 が作成またはダウンロードした不正なファイルを削除します。

      • TROJ_DOWNAD.E

    手順 5

    このレジストリキーを削除します。

    [ 詳細 ]

    警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
    レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
    レジストリの編集前にこちらをご参照ください。

     
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
      • {random characters 1}
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
      • {random characters 2}

    手順 6

    このレジストリ値を削除します。

    [ 詳細 ]

    警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
    レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
    レジストリの編集前にこちらをご参照ください。

    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
      • {random port number}:TCP = "{random port number}:TCP:*:Enabled:{random value}"

    手順 7

    変更されたレジストリ値を修正します。

    [ 詳細 ]

    警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
    事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
    レジストリの編集前にこちらをご参照ください。

    • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
      • From: Hidden = "2"
        To: Hidden = "1"
    • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
      • From: SuperHidden = "0"
        To: SuperHidden = "1"
    • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
      • From: CheckedValue = "0"
        To: CheckedValue = "1"
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
      • From: Start = "4"
        To: Start = "2"
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
      • From: Start = "4"
        To: Start = "2"

    手順 8

    「WORM_DOWNAD.BP」として検出されたファイルを検索し削除します。

    [ 詳細 ]
    [詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

    手順 9

    以下のフォルダを検索し削除します。

    [ 詳細 ]
    フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
    • {removable drive letter}:\RECYCLER

    手順 10

    「WORM_DOWNAD.BP」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。

    [ 詳細 ]
    • ;{garbage characters}
    • [AUTorUN
    • ;{garbage characters}
    • AcTION=Open folder to view files
    • ;{garbage characters}
    • icon=%syStEmrOot%\sySTEM32\sHELL32.Dll ,4
    • ;{garbage characters}
    • shelLExECUte=RuNdLl32.EXE .\RECYCLER\{SID}\jwgkvsq.vmx,ahaezedrn
    • ;{garbage characters}

    手順 11

    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_DOWNAD.BP」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

    註:

    日本のお客様は、以下のツールをご利用ください。

    修正パッチの日本語情報はこちらです。


    ご利用はいかがでしたか? アンケートにご協力ください