WORM_IRCBOT.KNG
W32.IRCBot (Symantec); Backdoor:Win32/Lamin.A (Microsoft); Trojan.Win32.Obfuscated.whl (Kaspersky); Generic.dx (Mcafee); W32/IRCBot-ADJ (Sophos); W32/IrcBot.CKB.worm (Panda)
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、特定のアプリケーションのアイコンを用いて、検出および削除を避けます。
ワームは、IRCサーバに接続します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下の無害なファイルを作成します。
- %Program Files%\Microsoft Office\OFFICE11\control.ini
- %Program Files%\Microsoft Office\OFFICE11\Drvics32.dll
- %Program Files%\Microsoft Office\OFFICE11\hjwgsd.dll
- %Program Files%\Microsoft Office\OFFICE11\jwiegh.dll
- %Program Files%\Microsoft Office\OFFICE11\PUB60SP.mrc
- %Program Files%\Microsoft Office\OFFICE11\remote.ini
- %Program Files%\Microsoft Office\OFFICE11\ruimsbbe.dll
- %Program Files%\Microsoft Office\OFFICE11\smss.exe
- %Program Files%\Microsoft Office\OFFICE11\yofc.dll
(註:%Program Files%は、標準設定では "C:\Program Files" です。)
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Startup%\Adobe Gamma Loader.com
- %Program Files%\Microsoft Office\OFFICE11\services.exe
- %Program Files%\Microsoft Office\OFFICE11\ WINWORD.EXE
ワームは、以下のアプリケーションのファイルアイコンを使用します。
- Microsoft Word
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "%Program Files%\Microsoft Office\OFFICE11\services.exe"
他のシステム変更
ワームは、以下のレジストリ値を追加します。
HKEY_CLASSES_ROOT\exefile
NeverShowExt =
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UacDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusOverride = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallOverride = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirstRunDisabled = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UpdatesDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UacDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
Acha.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
AmyMastura.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
BabyRina.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
cscript.exe
Debugger = "rundll32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
csrsz.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
lsasc.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
registry.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
SMSSS.exe
Debugger = "cmd.exe /c del"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
wscript.exe
Debugger = "rundll32.exe"
ワームは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinDefend
ワームは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
UncheckedValue = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
ワームは、以下のレジストリキーを削除します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot
バックドア活動
ワームは、以下のいずれかのIRCサーバに接続します。
- {BLOCKED}.us.dal.net
ワームは、以下のメッセージを自動送信するIRCスクリプトを追加し、このワームが接続しているIRCサーバにアクセスしているユーザ全員にメッセージを送信します。
- Bagaimana para pengusaha bisa sukses. anda bisa mendapatkan trik-trik para pengusaha dalam waktu singkat dengan hanya membaca buku dapatkan segera bukunya di http://bukugeratis.4shared.com
- Buku elektronik - Tips & Trik cara cepat mendapatkan pasangan hidup ==> http://bukugeratis.4shared.com
- Buku elektronik geratis cara cepat menguasai Adobe Photoshop CS4 untuk pemula dan mahir. dapatkan segera hanya di http://bukugeratis.4shared.com
- Buku geratis Mahir & cepat menguasai Microsoft Office 2007 (Word,Excel,PowerPoint,Acces) tebal 423 halaman. segera dapatkan hanya di http://bukugeratis.4shared.com
- Dapatkan buku Kumpulan trik teknik Hacking jaringan & website. Hacker Book, Cara cepat menguasai komputer di http://bukugeratis.4shared.com
- Download segera berbagai buku elektronik tips & trik ilmu komputer di >>> http://bukugeratis.4shared.com <<<
- Download buku 1001 cara usaha mendapatkan keuntungan besar berlipat ganda & trik pengusaha sukses http://bukugeratis.4shared.com
- Download segera berbagai buku elektronik tips & trik ilmu komputer di >>> http://bukugeratis.4shared.com <<<
- E-Book 1001 cara Merakit komputer ===> http://bukugeratis.4shared.com geratis download
- Ilmu cepat menguasai Adobe Photoshop CS2,CS3,dan CS4 >>> http://bukugeratis.4shared.com <<<
- Jom download segera berbagai kumpulan buku geratis Ilmu Komputer dan Bisnis di >> http://bukugeratis.4shared.com <<
- Mahu tau cara cepat dan mudah membuat website sendiri? dapatkan segera bukunya di http://bukugeratis.4shared.com 100% geratis
- Mahu tau tips & trik berbagai posisi bercinta dengan pasangan anda? dapatkan segera Kamasutra Book di http://bukugeratis.4shared.com
- Mahu tips and trik menarik Adobe Photoshop, dapatkan segera buku elektronik geratis di http://bukugeratis.4shared.com
- Tips & Trik bagaimana mendapatkan uang di internet ==> http://bukugeratis.4shared.com <==
- download segera berbagai buku elektronik tips & trik ilmu komputer di >>> http://bukugeratis.4shared.com <<<
- join here for you newbie fucking gangster, tempatnya mangkal para perampok maling pembajak begundal kampret tai lo!! klo berani join sini
- jom download segera berbagai kumpulan buku geratis Ilmu Komputer dan Bisnis di >> http://bukugeratis.4shared.com <<
その他
ワームは、以下のWebサイトにアクセスしてインターネット接続を確認します。
- www.miti.gov.my
- www.putera.com
- www.tourism.gov.my
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「WORM_IRCBOT.KNG」で検出したファイル名を確認し、そのファイルを終了します。
- 検出ファイルが、Windows のタスクマネージャまたは Process Explorer に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = "%Program Files%\Microsoft Office\OFFICE11\services.exe"
- Shell = "%Program Files%\Microsoft Office\OFFICE11\services.exe"
- In HKEY_CLASSES_ROOT\exefile
- NeverShowExt =
- NeverShowExt =
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- UacDisableNotify = "1"
- UacDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- AntiVirusDisableNotify = "1"
- AntiVirusDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- AntiVirusOverride = "1"
- AntiVirusOverride = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- FirewallDisableNotify = "1"
- FirewallDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- FirewallOverride = "1"
- FirewallOverride = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- FirstRunDisabled = "1"
- FirstRunDisabled = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- UpdatesDisableNotify = "1"
- UpdatesDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- UacDisableNotify = "1"
- UacDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- EnableLUA = "0"
- EnableLUA = "0"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Acha.exe
- Debugger = "cmd.exe /c del"
- Debugger = "cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AmyMastura.exe
- Debugger = "cmd.exe /c del"
- Debugger = "cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BabyRina.exe
- Debugger = "cmd.exe /c del"
- Debugger = "cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe
- Debugger = "rundll32.exe"
- Debugger = "rundll32.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\csrsz.exe
- Debugger = "cmd.exe /c del"
- Debugger = "cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\lsasc.exe
- Debugger = "cmd.exe /c del"
- Debugger = "cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\registry.exe
- Debugger = "cmd.exe /c del"
- Debugger = "cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMSSS.exe
- Debugger = "cmd.exe /c del"
- Debugger = "cmd.exe /c del"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
- Debugger = "rundll32.exe"
- Debugger = "rundll32.exe"
手順 4
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- WinDefend
- WinDefend
手順 5
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: ShowSuperHidden = "0"
To: 1
- From: ShowSuperHidden = "0"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: AntiVirusDisableNotify = "1"
To: 0
- From: AntiVirusDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: FirewallDisableNotify = "1"
To: 0
- From: FirewallDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: UpdatesDisableNotify = "1"
To: 0
- From: UpdatesDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: AntiVirusOverride = "1"
To: 0
- From: AntiVirusOverride = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: FirewallOverride = "1"
To: 0
- From: FirewallOverride = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
- From: UncheckedValue = "0"
To: 1
- From: UncheckedValue = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
- From: Start = "4"
To: 2
- From: Start = "4"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
- From: Start = "4"
To: 2
- From: Start = "4"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
- From: Start = "4"
To: 2
- From: Start = "4"
手順 6
以下のファイルを検索し削除します。
- %Program Files%\Microsoft Office\OFFICE11\control.ini
- %Program Files%\Microsoft Office\OFFICE11\Drvics32.dll
- %Program Files%\Microsoft Office\OFFICE11\hjwgsd.dll
- %Program Files%\Microsoft Office\OFFICE11\jwiegh.dll
- %Program Files%\Microsoft Office\OFFICE11\PUB60SP.mrc
- %Program Files%\Microsoft Office\OFFICE11\remote.ini
- %Program Files%\Microsoft Office\OFFICE11\ruimsbbe.dll
- %Program Files%\Microsoft Office\OFFICE11\smss.exe
- %Program Files%\Microsoft Office\OFFICE11\yofc.dll
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_IRCBOT.KNG」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください