WORM_IPPEDO.EP

2017年2月24日

解析者: Warren Adam Sto. Tomas

別名:

Trojan.Win32.Autoit.fdn(Kaspersky); Worm:Win32/Ippedo.I(Microsoft); Worm/Autoit.BMAH(AVG)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: ワーム
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路物理ドライブまたはリムーバブルドライブ経由による侵入, 他のマルウェアからの作成, インターネットからのダウンロード

ワームは、リムーバブルドライブを介してコンピュータに侵入します。ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

詳細

ファイルサイズ 1,330,176 bytes

タイプ EXE

メモリ常駐はい

発見日 2017年2月10日

ペイロード URLまたはIPアドレスに接続, 情報収集

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

%System Root%\Google\Windowsupdate.lnk
%System Root%\Google\GoogleUpdate.lnk
{All Drive}\Skypee\Windowsupdate.lnk
{All Drive}\Skypee\Googleupdate.lnk

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%System Root%\Google\{malware name}
{All Drive}\Skypee\{malware name}

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

ワームは、以下のフォルダを作成します。

%System Root%\Google
%System Root%\Skypee

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

googleupdate

ワームは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。

combination of the following processes:
- avp.exe, zonealarm.exe, avguard.exe
- tcpview.exe, procmon.exe, nod32kui.exe
- kavmm.exe, procmon.exe, fsbwsys.exe
- vmacthlp.exe, avp.exe, kavsvc.exe
VBoxService.exe
VBoxTray.exe
guninraik.exe
SbieSvc.exe
VMWareTray.exe
VMWareUser.exe
VMWareService.exe
FortiTracer.exe
vmacthlp.exe
vmtoolsd.exe
BehaviorDumper.exe
FakeHTTPServer.exe
FakeServer.exe

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Update = “%System Root%\Google\Windowsupdate.lnk”

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Update = “%System Root%\Google\Windowsupdate.lnk”

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
JavaUpdate = “%System Root%\Google\GoogleUpdate.lnk”

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
AdopeUpdate = “%System Root%\Google\GoogleUpdate.lnk”

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
NewJavaInstall = “%System Root%\Google\{malware name}”

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
AdopeFlash = “%System Root%\Google\{malware name}”

ワームは、＜Common Startup＞フォルダ内に以下のように自身のコピーを作成します。これにより、Windows起動時に自身のコピーの自動実行が可能となります。

Windows Update.lnk
GoogleUpdate.lnk

他のシステム変更

ワームは、以下のファイルを削除します。

googleupdate.vbs

ワームは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = “0”

(註：変更前の上記レジストリ値は、「{User Preference}」となります。)

ワームは、以下のレジストリキーを削除します。

HKEY_CLASSES_ROOT\lnkfile
IsShortcut =

感染活動

ワームは、すべての物理ドライブおよびリムーバブルドライブ内に以下のフォルダを作成します。

{All Drive}\Skypee

ワームは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。

{All Drive}\Skypee\{malware name}

バックドア活動

ワームは、不正リモートユーザからの以下のコマンドを実行します。

Restart malware
Display message box
Access a a url specified by remote user
Execute command through cmd.exe
Download arbitrary files
Restart
Uninstall malware
Update copy
Capture screenshot
Create executable file with arbitrary code

ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

colaa.{BLOCKED}tp.com:2015

情報漏えい

ワームは、以下の情報を収集します。

Malware ID
Computer Home Drive
Computer Name
User Name
Country
OS Version
OS Architecture
Webcam Info(“Yes” or “No”)
Malware Version
Installed AV application
Active Window Title

その他

ワームは、以下のいずれかのファイルが存在している場合、自身を終了します。

snxhk.dll
tracer.dll
SbieDll.dll
api_log.dll
dir_watch.dll
dbghelp.dll
monitornet.dll
cuckoo
SandCastle
sandbox
tracer.dll

ワームは、以下のWebサイトにアクセスし、感染コンピュータの位置情報を取得します。

http://www.geoplugin.net/json.gp

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 13.212.05

初回 VSAPI パターンリリース日 2017年2月10日

VSAPI OPR パターンバージョン 13.213.00

VSAPI OPR パターンリリース日 2017年2月11日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- Windows Update = “%System Root%\Google\Windowsupdate.lnk”
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Windows Update = “%System Root%\Google\Windowsupdate.lnk”
In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- JavaUpdate = “%System Root%\Google\GoogleUpdate.lnk”
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- AdopeUpdate = “%System Root%\Google\GoogleUpdate.lnk”
In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- NewJavaInstall = “%System Root%\Google\{malware name}”
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- AdopeFlash = “%System Root%\Google\{malware name}”

手順 5

変更されたレジストリ値を修正します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = “0”

手順 6

以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。

※註：マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。

In HKEY_CLASSES_ROOT\lnkfile
IsShortcut

手順 7

以下のフォルダを検索し削除します。

[ 詳細 ]

フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%System Root%\Google
{All Drive}\Skypee

このマルウェアまたはアドウェア等が作成したフォルダの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に、以下のフォルダ名を入力してください。
%System Root%\Google
{All Drive}\Skypee
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、フォルダを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。
残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.）から 4.）を繰り返してください。
%System Root%\Google
{All Drive}\Skypee

註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。
%System Root%\Google
{All Drive}\Skypee
検索が終了したら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。
残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.）から 3.）を繰り返してください。
%System Root%\Google
{All Drive}\Skypee

註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 8

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%User Startup%\Windows Update.lnk
%User Startup%\GoogleUpdate.lnk
{Removable Drive}\My Games.lnk
{Removable Drive}\My Pictuers.lnk
{Removable Drive}\My Videos.lnk
{Removable Drive}\Hot.lnk
{Removable Drive}\Downloads.lnk
{Removable Drive}\Movies.lnk

マルウェアのコンポーネントファイルの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
%User Startup%\Windows Update.lnk
%User Startup%\GoogleUpdate.lnk
{Removable Drive}\My Games.lnk
{Removable Drive}\My Pictuers.lnk
{Removable Drive}\My Videos.lnk
{Removable Drive}\Hot.lnk
{Removable Drive}\Downloads.lnk
{Removable Drive}\Movies.lnk
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
残りのファイルに対して、マルウェアのコンポーネントファイルの削除の手順 2.）から4 .）を繰り返してください。

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。
%User Startup%\Windows Update.lnk
%User Startup%\GoogleUpdate.lnk
{Removable Drive}\My Games.lnk
{Removable Drive}\My Pictuers.lnk
{Removable Drive}\My Videos.lnk
{Removable Drive}\Hot.lnk
{Removable Drive}\Downloads.lnk
{Removable Drive}\Movies.lnk
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
残りのファイルに対して、マルウェアのコンポーネントファイルの削除の手順 2.）から4 .）を繰り返してください。
註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 9

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「WORM_IPPEDO.EP」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください