Trend Micro Security

WORM_KOOBFACE.IT

2010年2月23日
 解析者: adel   
 プラットフォーム:

Windows 98, ME, NT, 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 ソーシャル・ネットワーキング・サイト(SNS)を介した感染活動

ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 ワームは、他のマルウェアに作成され、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ワームは、特定のレジストリ値を削除するため、アプリケーションやプログラムが正しく起動しなくなります。

ワームは、ソーシャル・ネットワーキング・サイト(SNS)を介して感染活動をします。その際、感染ユーザのすべての連絡先に不正なリンクを送信します。この不正リンクは、ワームのコピーがダウンロードされるリモートサイトに誘導します。

ワームは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。

  詳細

ファイルサイズ 62,464 bytes
タイプ PE
メモリ常駐 はい
発見日 2010年2月20日
ペイロード ファイルのダウンロード

侵入方法

ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

ワームは、他のマルウェアに作成され、コンピュータに侵入します。

ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Windows%\bill102.exe

(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

ワームは、以下のファイルを作成します。

  • %Windows%\bk23567.dat - non-malicious file

(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\
Windows\CURRENTVERSION\Run
sysfbtray = %Windows%\bill102.exe

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\
Internet Explorer\Main
tp = 1000

ワームは、以下のレジストリ値を削除します。

HKEY_CURRENT_USER\AppEvents\Schemes\
Apps\Explorer\Navigation
(Default) =  

感染活動

ワームは、スパム活動の過程で、メッセージを作成します。この送信用メッセージには、以下の詳細が記載されています。

Y ou must see this http://www.{BLOCKED}arquitectes.com/video

ワームは、以下のソーシャル・ネットワーキング・サイト(SNS)を標的とします。

  • Facebook

ワームは、SNSを介して感染活動をします。その際、感染ユーザのすべての連絡先に不正なリンクを送信します。この不正リンクは、ワームのコピーがダウンロードされるリモートサイトに誘導します。

バックドア活動

ワームは、不正リモートユーザからの以下のコマンドを実行します。

  • APPLE
  • BASEDOMAIN
  • DOMAIN_B
  • DOMAIN_C
  • DOMAIN_M
  • FBTARGETPERPOST
  • LINK_B
  • LINK_C
  • LINK_MH
  • LINK_S
  • LINK_W
  • RAZLOG
  • RCAPTCHA
  • SI
  • SIMPLEMODE
  • START
  • STARTIMG
  • STARTONCE
  • STARTONCEIMG
  • TEXT_B
  • TEXT_C
  • TEXT_CH
  • TEXT_M
  • TEXT_S
  • TEXT_W
  • TITLE_B
  • TITLE_M
  • WAIT

ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}0instantniches.com
  • {BLOCKED}25wynr.net
  • {BLOCKED}avench.com
  • {BLOCKED}faheidi.kopavogur.is
  • {BLOCKED}faheidi.thekking.is
  • {BLOCKED}linadayswork.org
  • {BLOCKED}lstateprocess.com
  • {BLOCKED}icableresolutionsintl.com
  • {BLOCKED}narsmari.kopavogur.is
  • {BLOCKED}iandvdtime.com
  • {BLOCKED}surance-selection.com
  • {BLOCKED}autiteen.host
  • {BLOCKED}zcontax.co.za
  • {BLOCKED}aitman.net
  • {BLOCKED}anderideklub.dk
  • {BLOCKED}andtransfer.com
  • {BLOCKED}evard-fl.com
  • {BLOCKED}ightonrooms.co.uk
  • {BLOCKED}isbanepropertysolutions.com.au
  • {BLOCKED}usselslivestock.ca
  • {BLOCKED}hillappraisal.com
  • {BLOCKED}delevator.com
  • {BLOCKED}ramicrestoration.co.za
  • {BLOCKED}dataservices.net
  • {BLOCKED}urchmousepublications.com
  • {BLOCKED}edit-selection.com
  • {BLOCKED}srmspos.com
  • {BLOCKED}veshieldsphotography.com
  • {BLOCKED}ltaboats.com
  • {BLOCKED}ntistschoice-fl.com
  • {BLOCKED}pannage-selection.com
  • {BLOCKED}scovertotalhealth.com
  • {BLOCKED}rothycooley.com
  • {BLOCKED}nasales.net
  • {BLOCKED}sygiftgiving.com
  • {BLOCKED}enailyina.com
  • {BLOCKED}essere.itties.com.tr
  • {BLOCKED}pcocoa.com
  • {BLOCKED}miliespil.dk
  • {BLOCKED}arms.net
  • {BLOCKED}fusalir.kopavogur.is
  • {BLOCKED}anknelsonbuilding.com
  • {BLOCKED}igologistics.nl
  • {BLOCKED}y-stay.co.uk
  • {BLOCKED}ldmaniac.com
  • {BLOCKED}ninja.fastlearningbrain.com
  • {BLOCKED}eenhealthyliving4u.netfirms.com
  • {BLOCKED}eystoneofellijay.com
  • {BLOCKED}inde.dk
  • {BLOCKED}ypacot.com
  • {BLOCKED}galleri.com
  • {BLOCKED}althmann.pk
  • {BLOCKED}artdesigns.com
  • {BLOCKED}diawildlifetourpackages.com
  • {BLOCKED}-tech.biz
  • {BLOCKED}secure.com
  • {BLOCKED}tya.com
  • {BLOCKED}stproud2b.com
  • {BLOCKED}eplan.com
  • {BLOCKED}pahvoll.kopavogur.is
  • {BLOCKED}udunlardoiseavenir.fr
  • {BLOCKED}onardandself.com
  • {BLOCKED}d-i-bevaegelse.dk
  • {BLOCKED}gnumopus.dk
  • {BLOCKED}hjongmuseum.com
  • {BLOCKED}niacs.com
  • {BLOCKED}shburnsales.com
  • {BLOCKED}mbermania.com
  • {BLOCKED}rce-enville.fr
  • {BLOCKED}tchellelectricinc.com
  • {BLOCKED}mohanty.com
  • {BLOCKED}defrugt.dk
  • {BLOCKED}hammedistechnologies.com
  • {BLOCKED}sthaveitjewelry.com
  • {BLOCKED}cleveridea.co.za
  • {BLOCKED}tempweb.com
  • {BLOCKED}line-doors.co.uk
  • {BLOCKED}rpetpix.com
  • {BLOCKED}ker-selection.fr
  • {BLOCKED}tar-business-guide.net
  • {BLOCKED}lphcotton.net
  • {BLOCKED}gime-selection.com
  • {BLOCKED}ishus.de
  • {BLOCKED}cardocarvalhoco.za
  • {BLOCKED}tmotours.com.tr
  • {BLOCKED}upnahaed.kopavogur.is
  • {BLOCKED}cklamanna.com
  • {BLOCKED}omservicedesign.com.au
  • {BLOCKED}chaedeli.dyndns.org
  • {BLOCKED}cotton.biz
  • {BLOCKED}cotton.com
  • {BLOCKED}lcukunal.net
  • {BLOCKED}eenalarsen.com
  • {BLOCKED}nonilimited.com
  • {BLOCKED}ybluephoto.com
  • {BLOCKED}arahvammur.kopavogur.is
  • {BLOCKED}lash-kids.com
  • {BLOCKED}evenslargetreesales.com
  • {BLOCKED}rictlydetail.co.uk
  • {BLOCKED}iminads.info
  • {BLOCKED}lephone-selection.com
  • {BLOCKED}e-word-is.com
  • {BLOCKED}enutritiongroup.biz
  • {BLOCKED}eonlinebizplace.com
  • {BLOCKED}nytanks.net
  • {BLOCKED}adersquants.com.mx
  • {BLOCKED}affichits247.com
  • {BLOCKED}ip4x4.co.il
  • {BLOCKED}oytabor.com
  • {BLOCKED}rk-ie.org
  • {BLOCKED}dercoversquilting.com
  • {BLOCKED}pfashiongroup.com
  • {BLOCKED}vicohen.com
  • {BLOCKED}iture-selection.com
  • {BLOCKED}yages-selection.com
  • {BLOCKED}lovetweet.com
  • {BLOCKED}yviral.com
  • {BLOCKED}-egypt.com
  • www.{BLOCKED}gypten-mit-stefan.de
  • www.{BLOCKED}faheidi.is
  • www.{BLOCKED}stakigroup.com
  • www.{BLOCKED}nmmoviesman.com
  • www.{BLOCKED}municat-de-presa.ro
  • www.{BLOCKED}inzahnarzt.com
  • www.{BLOCKED}o-lesbians.com
  • www.{BLOCKED}o-pussy.com
  • www.{BLOCKED}m.it
  • www.{BLOCKED}otic-food.ch
  • www.{BLOCKED}stlearningbrain.com
  • www.{BLOCKED}stpitchequipment.com
  • www.{BLOCKED}rienhaus-muehlner.de
  • www.{BLOCKED}vestar.ch
  • www.{BLOCKED}oggnitzer-werbeatelier.de
  • www.{BLOCKED}rangi.com
  • www.{BLOCKED}rault-automobiles.Fr
  • www.{BLOCKED}s-email.co.uk
  • www.{BLOCKED}0-trinitains.com
  • www.{BLOCKED}llabyah.com
  • www.{BLOCKED}chausleidenschaft.de
  • www.{BLOCKED}arningomaha.com
  • www.{BLOCKED}breriabibliothe.it
  • www.{BLOCKED}ssage-tom.com
  • www.{BLOCKED}utiqa.com.sg
  • www.{BLOCKED}eofakindsxm.com
  • www.{BLOCKED}rfect-center.org
  • www.{BLOCKED}unkafrique.net
  • www.{BLOCKED}sd1pc.org
  • www.{BLOCKED}eerasfolk-community.de
  • www.{BLOCKED}-speedracing.at
  • www.{BLOCKED}-speedracing.com
  • www.{BLOCKED}senboernehave.dk
  • www.{BLOCKED}gnyourweb.com
  • www.{BLOCKED}monelliafi.it
  • www.{BLOCKED}rgentedib
  • www.{BLOCKED}bdesign.com.sg
  • www.{BLOCKED}alasso-selection.com
  • www.{BLOCKED}msmurf.com
  • www.{BLOCKED}llesina.tv
  • www.{BLOCKED}atherserve.net
  • www.{BLOCKED}tone.ch
  • {BLOCKED}urprofit.brevard-fl.com
  • {BLOCKED}habit.com

ダウンロード活動

ワームは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

  • http:\\{BLOCKED}ybluephoto.com/.sys/?getexe=go.exe - detected as TROJ_AGENTT.EA
  • http:\\{BLOCKED}ybluephoto.com/.sys/?getexe=v2webserver.exe - detected as Mal_Koob-2
  • http:\\{BLOCKED}ybluephoto.com/.sys/?getexe=v2googlecheck.exe - detected as Mal_Koob-8
  • http:\\{BLOCKED}ybluephoto.com/.sys/?getexe=v2captcha.exe - detected as WORM_KOOBFCE.SMM

その他

このワームのコードから、ワームは、以下の機能を備えています。

  • Connects to social networking websites based on cookies it monitors
  • Navigates to affected users’ FRIENDS list in the monitored social networking Web site
  • Sends an HTTP POST request to the server once a friend has been located. As a reply, the server sends data which is actually the message to be sent to user's contacts.
  • Composes a new message containing the data from the server and sends it to the user's friend. The new message contains a link where a copy of this worm can be downloaded.
  • Performs routines such as reset itself, kill itself, exit its process, delete itself, and update itself

ワームは、以下のWebサイトにアクセスしてインターネット接続を確認します。

  • http://www.{BLOCKED}.com

  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 6.864.09
初回 VSAPI パターンリリース日 2010年2月21日
VSAPI OPR パターンバージョン 6.955.00
VSAPI OPR パターンリリース日 2010年3月27日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「WORM_KOOBFACE.IT」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main
    • tp = 1000
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run
    • sysfbtray = %Windows%\bill102.exe

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CLASSES_ROOT\Mime\Database\Content Type
    • application/xhtml+xml

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Windows%\bk23567.dat

手順 6

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_KOOBFACE.IT」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください