WORM_FLAMER.A
W32.Flamer (Symantec); Worm.Win32.Flame.a (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
トレンドマイクロは、このワームをNoteworthy(要注意)に分類しました。
この情報収集型マルウェアは、「Flame」というファミリ名を持ちます。マルウェアは、2010年よりイランや他の国で確認されています。マルウェアは、マルチコンポーネントの脅威であり、このことが解析を困難にします。
感染コンピュータがローカルネットワーク内で確認された場合、ワームは、そのネットワーク内で感染活動を行う機能を備えています。
ワームは、レジストリキーをアンインストールすることによってセキュリティ対策製品を無効にします。またワームは、スクリーンショットやマイクを利用した音声を取得したり、感染コンピュータ内で確認したデータベースを操作する機能を備えています。
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
詳細
侵入方法
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\mssecmgr.ocx
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
ワームは、以下のファイルを作成します。
- %System%\boot32drv.sys - detected as TROJ_FLAMER.CFG
- %System%\ccalc32.sys - detected as TROJ_FLAMER.CFG
- %System%\advnetcfg.ocx - also detected as WORM_FLAMER.A
- %System%\msglu32.ocx - also detected as WORM_FLAMER.A
- %System%\nteps32.ocx - also detected as WORM_FLAMER.A
- %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlog.dat
- %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat
- %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat
- %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat
- %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat
- %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr\ssitable
- %Windows%\Ef_trace.log
ワームは、以下のフォルダを作成します。
- %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr
(註:%Program Files%は、標準設定では "C:\Program Files" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Lsa Authentication
Packages = "{default entry + mssecmgr.ocx}"
(註:変更前の上記レジストリ値は、「{default entry}」となります。)
プロセスの終了
ワームは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- acs.exe
- AdoronsFirewall.exe
- almon.exe
- alsvc.exe
- alupdate.exe
- AntiHook.exe
- app_firewall.exe
- asr.exe
- aupdrun.exe
- authfw.exe
- avgnt.exe
- avguard.exe
- avp.exe
- avpm.exe
- bdagent.exe
- bdmcon.exe
- bdss.exe
- blackd.exe
- blackice.exe
- BootSafe.exe
- cdas17.exe
- cdinstx.exe
- clamd.exe
- cmdagent.exe
- configmgr.exe
- cpf.exe
- DCSUserProt.exe
- DF5SERV.exe
- DF5ServerService.exe
- DFAdmin6.exe
- DFServEx.exe
- dfw.exe
- dvpapi.exe
- EMLPROUI.exe
- EMLPROXY.exe
- FAMEH32.exe
- FCH32.exe
- Firewall 2004.exe
- FirewallGUI.exe
- FrzState.exe
- frzstate2k.exe
- fsaua.exe
- fsav32.exe
- Fsbwsys.exe
- fsdfwd.exe
- fsgk32.exe
- fsgk32st.exe
- fsguidll.exe
- Fsguiexe.exe
- FSM32.exe
- FSMA32.exe
- FSMB32.exe
- fspc.exe
- Fspex.exe
- fsqh.exe
- fsrt.exe
- Fssm32.exe
- FWService.exe
- fwsrv.exe
- fxsrv.exe
- gateway.exe
- ICMON.exe
- ike.exe
- ipatrol.exe
- ipcsvc.exe
- ipcTray.exe
- jpf.exe
- jpfsrv.exe
- kav.exe
- kavmm.exe
- Kpf4gui.exe
- Kpf4ss.exe
- live help.exe
- livesrv.exe
- lpfw.exe
- MPF.exe
- mpfcm.exe
- mpsvc.exe
- Netguard Lite.exe
- NetMon.exe
- NJEEVES.exe
- nstzerospywarelite.exe
- nvcoas.exe
- NVCSCHED.exe
- Nvoy.exe
- OEInject.exe
- omnitray.exe
- ONLINENT.exe
- ONLNSVC.exe
- op_mon.exe
- outpost.exe
- pcipprev.exe
- PF6.exe
- pfsvc.exe
- pgaccount.exe
- procguard.exe
- protect.exe
- PXAgent.exe
- PXConsole.exe
- R-Firewall.exe
- RDTask.exe
- RTT_CRC_Service.exe
- sab_wab.exe
- safensec.exe
- savadminservice.exe
- SavService.exe
- SCANWSCS.exe
- sched.exe
- SfCtlCom.exe
- smc.exe
- snsmcon.exe
- snsupd.exe
- sp_rsser.exe
- spfirewallsvc.exe
- sppfw.exe
- SpyHunter3.exe
- SpywareTerminator.exe
- SpywareTerminatorShield.exe
- SSUpdate.exe
- SUPERAntiSpyware.exe
- SWNETSUP.exe
- swupdate.exe
- sww.exe
- tikl.exe
- tinykl.exe
- TMAS_OEMon.exe
- TMBMSRV.exe
- TmPfw.exe
- TmProxy.exe
- Tray.exe
- TSAnSrf.exe
- TSAtiSy.exe
- TScutyNT.exe
- TSmpNT.exe
- UfSeAgnt.exe
- UmxAgent.exe
- UmxCfg.exe
- UmxFwHlp.exe
- Umxlu.exe
- UmxPol.exe
- UmxTray.exe
- updclient.exe
- VCATCH.exe
- vdtask.exe
- VSDesktop.exe
- vsmon.exe
- vsserv.exe
- WSWEEPNT.exe
- wwasher.exe
- xauth_service.exe
- xcommsvr.exe
- xfilter.exe
- Zanda.exe
- zerospyware le.exe
- ZeroSpyware Lite.exe
- zerospyware lite_installer.exe
- zlclient.exe
その他
ワームは、感染コンピュータを介して、その感染コンピュータのあるネットワーク内に存在する他のコンピュータへ感染活動を行います。
ワームは、以下のレジストリキーをアンインストールすることによってセキュリティ対策製品を無効にします。
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\AVP6
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP7
SOFTWARE\KasperskyLab\avp6\settings
SOFTWARE\Symantec\InstalledApps
SOFTWARE\Symantec\Norton AntiVirus
SOFTWARE\Symantec\SymSetup\Internet security
SOFTWARE\Symantec\Symantec AntiVirus
ワームは、以下の不正活動を行う機能を備えています。
- スクリーンショットの取得
- マイクを利用した音声の取得
- このワーム自身の活動の記録および報告
- データベースの操作
- リムーバブルドライブおよび感染コンピュータのあるネットワークを介した感染活動
ワームが作成する以下のファイルは、「TROJ_FLAMER.CFG」として検出されます。
- %System%\boot32drv.sys
- %System%\ccalc32.sys
ワームが作成する以下のファイルは、このワームとして検出されます。
- %System%\advnetcfg.ocx
- %System%\msglu32.ocx
- %System%\nteps32.ocx
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のフォルダを検索し削除します。
- %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr
手順 5
以下のファイルを検索し削除します。
- %Windows%\Ef_trace.log
手順 6
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Authentication
- From: Packages = "{default entry + mssecmgr.ocx}"
To: Packages = "{default entry}"
- From: Packages = "{default entry + mssecmgr.ocx}"
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_FLAMER.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください