Trend Micro Security

WORM_PALEVO

2014年2月25日
 解析者: Karl Dominguez   
 別名:

Rimecud, Pilleuz, Palevo

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 ピアツーピア(P2P)ネットワークを介した感染活動, リムーバブルドライブを介した感染活動, インスタントメッセンジャ(IM)を介した感染活動

PALEVO」は、ボットネット「Mariposa」の一部として知られるワームです。ワームは、「Kazaa」や「Limewire」のようなピアツーピア(P2P)ファイル共有ネットワーク、「MSNメッセンジャー」のようなインスタントメッセンジャ、およびリムーバブルディスクなど3つの感染経路からコンピュータに侵入することで知られています。

「PALEVO」は、基本的にダウンローダとして機能しますが、ログイン情報の収集や他のオンラインバンキングに関連した情報、企業や個人のデータの収集など、他の不正活動を実行します。マルウェアは、分散型サービス拒否(DDoS)攻撃を実行します。

また、「PALEVO」は、特定のWebサイトにアクセスし、コマンド&コントロール(C&C)サーバからのコマンドを送受信します。ワームが実行可能なコマンドは、ファイルのダウンロード、ポートのスキャン、および狙ったアドレスへのDDoS攻撃の実行にまで及びます。

加えて、「PALEVO」は、特殊な暗号化技術を用いて、メインとなる実行ファイルを隠ぺいします。マルウェアは、通常モジュール化された機能を持つボットツールキットとして装い、アンダーグラウンド市場で販売されます。

  詳細

メモリ常駐 はい
ペイロード 情報収集, システムセキュリティへの感染活動

インストール

ワームは、以下の無害なファイルを作成します。

  • %System Root%\RECYCLER\{SID}\Desktop.ini

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • {drive letter}\{random foldername}/{random file name}.exe
  • %Application Data%\{random file name}.exe
  • %System Root%\RECYCLER\{SID}\{random file name}.exe
  • %User Profile%\{random file name}.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)

ワームは、以下のフォルダを作成します。

  • %System Root%\RECYCLER\{SID}
  • {drive letter}\{random folder name}

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = “%User Profile%\{random filename}.exe”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = “%Application Data%\{random filename}.exe "

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}.{BLOCKED}.155.190/omv/petrol80.exe
  • {BLOCKED}.{BLOCKED}.190.237
  • {BLOCKED}bam.info
  • banana.{BLOCKED}nds.su
  • {BLOCKED}rystorm.net
  • jebena.{BLOCKED}olic.su
  • juice.{BLOCKED}cala.org
  • l33t.{BLOCKED}othes.net
  • {BLOCKED}dcast.com
  • murik.{BLOCKED}tection.net.ru
  • {BLOCKED}ucks.com
  • peer.{BLOCKED}losarske.ru
  • pica.{BLOCKED}cke-ljepotice.ru
  • portal.{BLOCKED}werbord.com
  • sandra.{BLOCKED}nica.com
  • shohtha3.{BLOCKED}a.com
  • slade.{BLOCKED}enumber.com
  • teske.{BLOCKED}rke.com
  • {BLOCKED}ize.com
  • world.{BLOCKED}udio.ru

  対応方法

対応検索エンジン: 9.200

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください