WORM_KELIHOS.TSH
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 ワームは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- {random directory}\{random file name 1}
ワームは、以下のファイルを作成します。
- {Drive Letter}:\Shortcut to {random file name 2}.lnk
- {Drive Letter}:\{Folder name}.lnk - points to malware copy {Drive Letter}:\{random file name 2}.exe
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random parameter 1}{random parameter 2} = "{random directory}\{random file name 1}"
他のシステム変更
ワームは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
DefaultCompressedRecord = "{random value}"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
RecordModifiedMax = "{random value}=="
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
FlagsModifiedValid = "0"
HKEY_CURRENT_USER\Software\TansuTCP
ActiveModifiedTheme = "{random value}"
HKEY_CURRENT_USER\Software\TansuTCP
SizeCompletedValid = "{random value}=="
HKEY_CURRENT_USER\Software\TansuTCP
InfoPlayedCurrent = "0"
感染活動
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {Drive Letter}:\{random file name 2}.exe
バックドア活動
ワームは、不正リモートユーザからの以下のコマンドを実行します。
- Request spam email messages structure and template
- Send spam email messages
- Send stolen information
- Get operating system information
- Get drive information
- List running processes
- Download and execute arbitrary files
- Update server with a list of compromised computers
- Manage registry
- Download updated copy of itself
ワームは、以下のWebサイトにアクセスし、情報を送受信します。
- http://{BLOCKED}.{BLOCKED}.92.60/index.htm
- http://{BLOCKED}.{BLOCKED}.92.60/install.htm
- http://{BLOCKED}.{BLOCKED}.29.191/index.htm
- http://{BLOCKED}.{BLOCKED}.29.191/search.htm
- http://{BLOCKED}.{BLOCKED}.99.41/default.htm
- http://{BLOCKED}.{BLOCKED}.99.41/index.htm
- http://{BLOCKED}.{BLOCKED}.99.47/default.htm
- http://{BLOCKED}.{BLOCKED}.99.47/index.htm
- http://{BLOCKED}.{BLOCKED}.26.213/home.htm
- http://{BLOCKED}.{BLOCKED}.26.213/install.htm
- http://{BLOCKED}.{BLOCKED}.41.85/defaul .htm
- http://{BLOCKED}.{BLOCKED}.41.85/install.htm
- http://{BLOCKED}.{BLOCKED}.50.176/install.htm
- http://{BLOCKED}.{BLOCKED}.50.176/online.htm
- http://{BLOCKED}.{BLOCKED}.50.176/search.htm
- http://{BLOCKED}.{BLOCKED}.50.176/setup.htm
- http://{BLOCKED}.{BLOCKED}.199.75/main.htm
- http://{BLOCKED}.{BLOCKED}.199.75/search.htm
- http://{BLOCKED}.{BLOCKED}.252.113/online.htm
- http://{BLOCKED}.{BLOCKED}.252.113/setup.htm
- http://{BLOCKED}.{BLOCKED}.101.47/default.htm
- http://{BLOCKED}.{BLOCKED}.101.47/start.htm
- http://{BLOCKED}.{BLOCKED}.245.128/online.htm
- http://{BLOCKED}.{BLOCKED}.245.128/welcome.htm
- http://{BLOCKED}.{BLOCKED}.43.230/default.htm
- http://{BLOCKED}.{BLOCKED}.43.230/file.htm
- http://{BLOCKED}.{BLOCKED}.79.46/default.htm
- http://{BLOCKED}.{BLOCKED}.79.46/start.htm
- http://{BLOCKED}.{BLOCKED}.152.225/default.htm
- http://{BLOCKED}.{BLOCKED}.152.225/online.htm
- http://{BLOCKED}.{BLOCKED}.43.85/search.htm
- http://{BLOCKED}.{BLOCKED}.43.85/index.htm
- http://{BLOCKED}.{BLOCKED}.65.82/welcome.htm
- http://{BLOCKED}.{BLOCKED}.65.82/default.htm
情報漏えい
ワームは、コンピュータ内に以下のFTPクライアントまたはファイルマネージャのアカウント情報が保存されている場合、これらのアカウント情報を収集します。
- 32BitFTP
- 3D-FTP
- ALFTP
- AceBIT
- BitKinex
- BlazeFtp
- BulletProof FTP
- ClassicFTP
- CoffeeCup Software
- Core FTP
- Cyberduck
- DeluxeFTP
- Directory Opus
- EasyFTP
- FTPNow
- FarManager
- FastStone FTP
- FFFTP
- FileZilla
- FlashFXP
- Fling FTP
- FreshFTP
- FTPGetter
- FTP Commander
- FTP Control
- FTP Explorer
- FTP Navigator
- FTP Surfer
- FTPRush
- FTPShell
- GlobalSCAPE CuteFTP 6 Home
- GlobalSCAPE CuteFTP 6 Professional
- GlobalSCAPE CuteFTP
- GlobalSCAPE CuteFTP 7 Home
- GlobalSCAPE CuteFTP 7 Professional
- GlobalSCAPE CuteFTP 8 Home
- GlobalSCAPE CuteFTP 8 Professional
- GlobalSCAPE CuteFTP Lite
- GlobalSCAPE CuteFTP Pro
- KiTTY
- LeapWare
- LeechFTP
- LinasFTP
- MAS-Soft FTPInfo
- My FTP
- NetDrive
- NetSarang
- NexusFile
- NovaFTP
- NppFTP
- PuTTY
- Quick FTP
- Robo-FTP
- SecureFX
- SmartFTP
- SoftX FTP Client
- Total Commander
- TurboFTP
- UltraFXP
- WebDrive
- WebSitePublisher
- WinFTP
- WinSCP
- WS_FTP
ワームは、上述のFTPクライアントおよびファイルマネージャのいずれかから、以下のアカウント情報を収集します。
- Server Name
- User Name
- Password
- Directory
- Port
ワームは、以下のブラウザから、ユーザ名、パスワードやホスト名といった保存された情報を収集します。
- Bromium
- ChromePlus
- Chromium
- Comodo
- CoolNovo
- Epic Browser
- Google Chrome
- K-Meleon
- Nichrome
- Rockmelt
- Yandex
ワームは、実行後、自身のファイル属性を「読み取り専用」および「隠しファイル」に変更します。
ワームは、感染したコンピュータ内に "{random directory}\{random file name 1}" として自身のコピーを作成します。"{random file name 1}" には、以下のいずれかが該当します。
- acrord32
- agent
- ati2evxx
- avguard
- batch
- block
- ccapp
- ccevtmgr
- ccsetmgr
- convert
- decompile
- defwatch
- download
- em_exec
- explorer
- extract
- ezsp_px
- firefox
- gearsec
- hkcmd
- htpatch
- ielowutil
- ieuser
- iexplore
- igfxtray
- isuspm
- jucheck
- jusched
- khalmnpr
- klwtblfs
- launch
- lsass
- lucoms
- mcshield
- mcvsescn
- msascui
- mscorsvw
- mspmspsv
- naprdmgr
- navapsvc
- nprotect
- ntvdm
- nvsvc32
- nvxdsync
- pctspk
- pdvddxsrv
- point32
- qbw32
- qttask
- rename
- rundll32
- services
- sidebar
- spoolsv
- svchost
- taskman
- terraria
- toaster
- trustedinstaller
- umodrive
- unhide
- unpack
- unzip
- update
- upgrade
- uptime
- vsmon
- webscanx
- winlogon
- wisptis
- wmpnetwk
- wmpnscfg
- zcfgsvc
ワームは、すべてのリムーバブルドライブ内に "{Drive Letter}:\{random file name 2}.exe" として自身のコピーを作成します。"{random file name 2}" には、以下のいずれかが該当します。
- click
- game
- hentai
- installer
- password
- porn
- run
- sas
- screensaver
ワームは、リムーバブルドライブ内の自身のコピーに誘導するショートカットファイル(拡張子LNK)も作成します。なお、作成したショートカットファイル名には、リムーバブルドライブ内に存在するフォルダ名を使用します。そしてワームは、名称を借用した実際のフォルダの方は、属性を「隠しファイル」に設定し、作成したショートカットファイルをクリックさせようとします。
ワームの自動実行に関連するレジストリ「{random parameter 1}」には、以下のいずれかが該当します。
- Network
- Time
- CrashReport
- Database
- Icon
- Desktop
- Tray
- Video
- Media
ワームの自動実行に関連するレジストリ「{random parameter 2}」には、以下のいずれかが該当します。
- Checker
- Informer
- Notifyer
- Saver
- Updater
- Verifyer
例:
- NetworkVerifyer
- TrayNotifyer
- CrashReportUpdater
ワームは、ネットワークトラフィックを監視し、Eメールからの情報や以下の文字列を含むFTPアカウントからの情報を取得します。
- AUTH_PLAIN
- Authorization
- Basic
- CONNECT
- PASS
- USER
- pop3_smtp
ワームは、HTTPプロトコル(TCP ポート80番)を介してリモートサーバと暗号化されたメッセージのやりとりを行います。また、リモートホストと通信する際、以下の細工されたユーザエージェントを利用します。
- Mozilla/5.0 (Windows NT 5.1) Gecko/20100101 Firefox/14.0 Opera/12.0
- Opera/9.80 (Windows NT 5.1; U; zh-sg) Presto/2.9.181 Version/12.00
- Opera/9.80 (Windows NT 6.1; U; es-ES) Presto/2.9.181 Version/12.00
- Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0) Opera 12.14
- Mozilla/5.0 (Windows NT 6.0; rv:2.0) Gecko/20100101 Firefox/4.0 Opera 12.14
- Opera/9.80 (Windows NT 6.0) Presto/2.12.388 Version/12.14
- Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_7; da-dk) AppleWebKit/533.21.1 (KHTML, like Gecko) Version/5.0.5 Safari/533.21.1
- Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; de-at) AppleWebKit/533.21.1 (KHTML, like Gecko) Version/5.0.5 Safari/533.21.1
- Mozilla/5.0 (iPad; CPU OS 5_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko ) Version/5.1 Mobile/9B176 Safari/7534.48.3
- Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_3) AppleWebKit/534.55.3 (KHTML, like Gecko) Version/5.1.3 Safari/534.53.10
- Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/537.13+ (KHTML, like Gecko) Version/5.1.7 Safari/534.57.2
- Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25
- Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; chromeframe/12.0.742.112)
- Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; Media Center PC 6.0; InfoPath.3; MS-RTC LM 8; Zune 4.7)
- Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 7.1; Trident/5.0)
- Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)
- Mozilla/1.22 (compatible; MSIE 10.0; Windows 3.1)
- Mozilla/4.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/5.0)
- Mozilla/5.0 (compatible; MSIE 10.0; Macintosh; Intel Mac OS X 10_7_3; Trident/6.0)
- Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/4.0; InfoPath.2; SV1; .NET CLR 2.0.50727; WOW64)
- Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/5.0)
- Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)
- Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)
- Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:21.0) Gecko/20100101 Firefox/21.0
- Mozilla/5.0 (Windows NT 5.0; rv:21.0) Gecko/20100101 Firefox/21.0
- Mozilla/5.0 (Windows NT 5.1; rv:21.0) Gecko/20100101 Firefox/21.0
- Mozilla/5.0 (Windows NT 5.1; rv:21.0) Gecko/20130331 Firefox/21.0
- Mozilla/5.0 (Windows NT 5.1; rv:21.0) Gecko/20130401 Firefox/21.0
- Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20100101 Firefox/21.0
- Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20130328 Firefox/21.0
- Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20130401 Firefox/21.0
- Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20100101 Firefox/21.0
- Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20130330 Firefox/21.0
- Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20130331 Firefox/21.0
- Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20130401 Firefox/21.0
- Mozilla/5.0 (Windows NT 6.2; rv:21.0) Gecko/20130326 Firefox/21.0
- Mozilla/5.0 (X11; Linux i686; rv:21.0) Gecko/20100101 Firefox/21.0
- Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:21.0) Gecko/20100101 Firefox/21.0
- Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:21.0) Gecko/20130331 Firefox/21.0
- Mozilla/5.0 (Windows NT 6.1; rv:22.0) Gecko/20130405 Firefox/22.0
- Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:22.0) Gecko/20130328 Firefox/22.0
- Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1464.0 Safari/537.36
- Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1467.0 Safari/537.36
- Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1468.0 Safari/537.36
- Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.2 Safari/537.36
- Mozilla/5.0 (compatible; MSIE 9.0; AOL 9.7; AOLBuild 4343.19; Windows NT 6.1; WOW64; Trident/5.0; FunWebProducts)
- Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; Acoo Browser 1.98.744; .NET CLR 3.5.30729)
またワームは、"%Application Data%\Bitcoin\wallet.dat" から情報を収集します。
ワームは、SMTP接続を利用して、スパムメールを送信します。
ワームは、自身のC&Cサーバから新しいIPアドレスのリストを取得する機能を備えています。IPアドレスのリストは、ワームの作成者によって変更されます。
ワームは、ルートキット機能を備えていません。
ワームは、脆弱性を利用した感染活動を行いません。
ワームが作成する以下のファイルは、このワームのコピー "{Drive Letter}:\{random file name 2}.exe" へと誘導します。
- {Drive Letter}:\{Folder name}.lnk
ワームが実行するコマンドは、以下のとおりです。
- スパムメール本文の構造およびテンプレートのリクエスト
- スパムメールの送信
- 収集した情報の送信
- オペレーティングシステム(OS)の情報の収集
- ドライブの情報の収集
- 実行中プロセスのリスト化
- 任意のファイルのダウンロードおよび実行
- 感染コンピュータのリストによってサーバを更新
- レジストリの管理
- 自身のコピーの更新版のダウンロード
ワームが上述のFTPクライアントおよびファイルマネージャのいずれかから収集する情報は、以下のとおりです。
- サーバ名
- ユーザ名
- パスワード
- ディレクトリ
- ポート
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「WORM_KELIHOS.TSH」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- DefaultCompressedRecord = "{random value}"
- DefaultCompressedRecord = "{random value}"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- RecordModifiedMax = "{random value}=="
- RecordModifiedMax = "{random value}=="
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- FlagsModifiedValid = "0"
- FlagsModifiedValid = "0"
- In HKEY_CURRENT_USER\Software\TansuTCP
- ActiveModifiedTheme = "{random value}"
- ActiveModifiedTheme = "{random value}"
- In HKEY_CURRENT_USER\Software\TansuTCP
- SizeCompletedValid = "{random value}=="
- SizeCompletedValid = "{random value}=="
- In HKEY_CURRENT_USER\Software\TansuTCP
- InfoPlayedCurrent = "0"
- InfoPlayedCurrent = "0"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- {random parameter 1}{random parameter 2} = "{random directory}\{random file name 1}"
- {random parameter 1}{random parameter 2} = "{random directory}\{random file name 1}"
手順 5
以下のファイルを検索し削除します。
- {Drive Letter}:\Shortcut to {random file name 2}.lnk
- {Drive Letter}:\{Folder name}.lnk
手順 6
WORM_KELIHOS.TSH として検出されたファイルを検索し削除します。
註:このファイルは、隠しファイルとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
特定のファイルが起動した際、マルウェアの自動起動実行の停止:
- [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
- [ファイル名のすべてまたは一部]に上記で確認したファイル名を入力してください。
- [探す場所]の一覧から[マイコンピュータ]を選択し、Enter を押します。
- 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
- [スタート]をクリックします。
- [プログラムとファイルの検索]に、上記で確認したファイル名を入力し、Enter を押します。
- 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註:Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_KELIHOS.TSH」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください