Trend Micro Security

WORM_EBOOM.AC

2012年10月9日
 解析者: Cris Nowell Pantanilla   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, ソーシャル・ネットワーキング・サイト(SNS)を介した感染活動

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 195,072 bytes
タイプ EXE
メモリ常駐 はい
発見日 2012年5月11日
ペイロード URLまたはIPアドレスに接続

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のプロセスにコードを組み込みます。

  • IEXPLORE
  • chrome
  • firefox
  • iexplore
  • opera

ダウンロード活動

ワームは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

  • http://www.{BLOCKED}arding.com/4721605860.txt

その他

ワームは、以下の条件を満たした場合、自身を終了し、削除します。

  • ファイル名に以下の文字列のいずれかを含む場合:
    • malware
    • sample
    • sand-box
    • sandbox
    • test
    • virus
  • 感染コンピュータのコンピュータ名が以下のいずれかである場合:
    • DELL-D3E62F7E26
    • HOME-OFF-D5F0AC
    • KAKAPROU-6405DA
    • MAKKK
    • Malekal
    • VMG-CLIENT
  • 感染コンピュータ上で確認されたユーザ名が以下のいずれかである場合:
    • DELL-D3E62F7E26
    • HOME-OFF-D5F0AC
    • KAKAPROU-6405DA
    • klasnich
    • Mak
    • Malekal
    • VMG-CLIENT

ワームは、以下のレジストリから値を列記し、以下の仮想環境を確認します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Disk\Enum
VMware
VBox
Virtual
QEMU

ワームは、以下のファイルのいずれかがメモリ上で実行しているかを確認することで、ワームが仮想環境で実行しているかを確認します。

  • cports.exe
  • dumpcap.exe
  • filemon.exe
  • procdump.exe
  • procexp.exe
  • procmon.exe
  • regmon.exe
  • regshot.exe
  • sbiectrl.exe
  • squid.exe
  • syssafe.exe
  • tcpview
  • vbox
  • vmsrvc
  • vmware
  • wireshark.exe

また、ワームは、開かれているウィンドウかクラスが以下のいずれかを含むかを確認します。

  • CurrPorts*
  • Microsoft Network Monitor 3.3
  • Process Monitor - Sysinternals: www.sysinternals.com
  • PROCEXPL
  • Regshot 1.8.2
  • SmartSniff
  • TCPViewClass
  • The Wireshark Network Analyzer

ワームは、以下のファイルが存在するかも確認します。

  • %Program Files%\Ethereal\ethereal.html
  • %Program Files%\Microsoft Network Monitor 3\netmon.exe
  • %Program Files%\WinPcap\rpcapd.exe
  • %Program Files%\WireShark\rawshark.exe

(註:%Program Files%は、標準設定では "C:\Program Files" です。)

ワームは、以下のWebサイト上でのメッセージの投稿、投稿済みメッセージの削除およびプライベートメッセージの送信などを確認することにより、Webサイト上でのユーザの活動を監視します。

  • Facebook
  • Meebo
  • MySpace
  • Twitter
  • WordPress

ワームは、上述のWebサイト上でのメッセージの投稿によって拡散します。投稿されたメッセージは、自身のコピーへ誘導するURLを含んでいます。

  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 8.988.02
初回 VSAPI パターンリリース日 2012年5月11日
VSAPI OPR パターンバージョン 8.989.00
VSAPI OPR パターンリリース日 2012年5月11日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「WORM_EBOOM.AC」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

「WORM_EBOOM.AC」として検出されたファイルを検索し削除します。

[ 詳細 ]

手順 5

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_EBOOM.AC」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください