• Email
• Facebook
• Twitter
• Google+
• Linkedin

WORM_IRCBOT.PHT

---

• マルウェアタイプ: ワーム
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、レジストリ値を変更し、複数のシステムサービスを無効にします。これにより、システムに必要な機能が起動しません。

ワームは、このワームにより強制終了されるプロセスに関連するファイルを削除します。これにより、削除されたファイルに関連するプログラムおよびアプリケーションが無効となります。

ワームは、ユーザのInternet Explorer（IE）のスタートページを特定のWebサイトに変更します。これにより、特定のマルウェアを含むWebサイトが表示され、感染コンピュータは、さらなる脅威にさらされる恐れがあります。

---

  詳細

侵入方法

ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

ワームは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

• http://{BLOCKED}raimg.com/photo.php?={random numbers}
• http://{BLOCKED}otoon.com/photo.php?={random numbers}

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Windows%\nvsvc32.exe

(註：%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Nvidia Drive Mon

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
NVIDIA driver monitor = %Windows%\nvsvc32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
NVIDIA driver monitor = %Windows%\nvsvc32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Terminal Server\
Install\Software\Microsoft\
Windows\CurrentVersion\Run
NVIDIA driver monitor = %Windows%\nvsvc32.exe

他のシステム変更

ワームは、レジストリ値を変更し、以下のシステムサービスを無効化します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = 4

(註：変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MsMpSvc
Start = 4

(註：変更前の上記レジストリ値は、「2」となります。)

ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = %Windows%\nvsvc32.exe:Enabled:NVIDIA driver monitor

プロセスの終了

ワームは、感染コンピュータ上で確認した以下のサービスを終了します。

• wuauserv
• MsMpSvc

ワームは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• msseces.exe

ワームは、このワームにより強制終了されるプロセスに関連するファイルを削除します。これにより、削除されたファイルに関連するプログラムおよびアプリケーションが無効となります。

Webブラウザのホームページおよび検索ページの変更

ワームは、ユーザのIEのスタートページを以下のWebサイトに変更します。

• http://{BLOCKED}ure.com

その他

このワームのコードから、ワームは、以下の機能を備えています。

• It tries to connect to any of the following sites:
  
  • {BLOCKED}.{BLOCKED}.18.99
  • {BLOCKED}oshistory.info
  • {BLOCKED}e.pakibili.com
  • {BLOCKED}o.ic.ac.uk
  • {BLOCKED}e.lacoctelera.net
  • {BLOCKED}emccloskey.org
  • {BLOCKED}s.phoenix-cc.net
  • {BLOCKED}highered.com
  • {BLOCKED}lofaccountancy.com
  • {BLOCKED}ls.lww.com
  • {BLOCKED}s.0730ip.com
  • {BLOCKED}s.archivum.info
  • {BLOCKED}p.lvengine.com
  • {BLOCKED}astpost.org
  • {BLOCKED}rticles.com
  • {BLOCKED}rarticles.info
  • {BLOCKED}n.51.com
  • {BLOCKED}yle.com
  • {BLOCKED}e.info
  • {BLOCKED}r-uni-sw.eesp.ch
  • {BLOCKED}ationale.org
  • {BLOCKED}ed.com
  • {BLOCKED}k.com
  • {BLOCKED}etrafficspy.com
  • www.{BLOCKED}an.com
  • xxx.{BLOCKED}a.pl
• If the connection is succesful, the malware joins the channel #!nn! to send and receive information from its IRC C&C server. The malware could also download additional files and is saved as follows:
  
  • %Windows%\ndl.dl
  • %Windows%\wibrf.jpg
  • %Windows%\wiybr.png
  • %Windows%\ntdl.dl
• If the malware is not able to drop a copy of itself in %Windows% directory. It tries to drop a copy of itself as the following:
  
  • %Public%\nvsvc32.exe
  • %Program Files%\nvsvc32.exe
  
  (Note: %Public% is usually C:\Users\Public in Windows Vista and Windows 7. %Program Files% is the default Program Files folder, usually C:\Program Files.)
• The malware is capable of sending messages in Facebook, Yahoo! Messenger and Windows Live containing a link pointing to a copy of itself:
  
  • Foto :D http://{BLOCKED}otoon.com/photo.php?={random numbers}
• This malware also opens the page http://{BLOCKED}users.myspace.com/Browse/Browse.aspx

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください