Trend Micro Security

WORM_PHORPIEX.B

2013年4月11日
 解析者: Nikko Tamana   
 別名:

Worm:Win32/Phorpiex.B (Microsoft)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 リムーバブルドライブを介した感染活動

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、IRCサーバに接続します。 ワームは、IRCチャンネルに参加します。

  詳細

ファイルサイズ 122,880 bytes
タイプ EXE
メモリ常駐 はい
発見日 2013年3月18日
ペイロード システムセキュリティへの感染活動

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のフォルダを追加します。

  • %User Profile%\M-1-25-8784-4125-7572
  • {Removable Drive}:\94728631

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %User Profile%\M-1-25-8784-4125-7572\winsvc.exe

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • D9T3U5H1K7N

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft® Windows Update = "%User Profile%\M-1-25-8784-4125-7572\winsvc.exe"

他のシステム変更

ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%User Profile%\M-1-25-8784-4125-7572\winsvc.exe = "%User Profile%\M-1-25-8784-4125-7572\winsvc.exe:*:Enabled:Microsoft® Windows Update"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {Removable Drive}:\windrvs32.exe
  • {Removable Drive}:\94728631\{Folder Names}.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shellexecute=windrvs32.exe
UseAutoPlay=1

バックドア活動

ワームは、以下のいずれかのIRCサーバに接続します。

  • {BLOCKED}07.net

ワームは、以下のいずれかのIRCチャンネルに参加します。

  • #32770

ワームは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。

  • Propagate via Google Talk and/or ICQ
  • Download and execute arbitrary files
  • Perform Denial of Service attack (SYN flood)
  • Join other IRC channel
  • Uninstall itself

ダウンロード活動

ワームは、以下のファイル名でダウンロードしたファイルを保存します。

  • %Application Data%\msnsvconfig.txt

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

その他

ワームは、自身のコピーに誘導するショートカットファイル(拡張子LNK)も作成します。このワームのファイル名は、"<リムーバブルドライブ>:\94728631\<フォルダ名>.EXE" です。この<フォルダ名>には、リムーバブルドライブ内に存在する場合、確認したフォルダ名を使用します。

そして、名称を借用した実際のフォルダの方は、属性を「隠しファイル」に設定します。

「インスタントメッセンジャ(IM)『Google トーク』および/または『ICQ』を介した感染活動」というコマンドが実行された場合、ワームは、Google トークおよび/またはICQが感染コンピュータにインストールされているかを確認します。インストールされていることを確認すると、感染ユーザのすべての連絡先に対し、メッセージおよび自身のコピーへと誘導するリンクを送信します。

送信されるメッセージの言語は、感染コンピュータのロケールおよびシステム言語によって異なり、以下のいずれかが該当します。

  • 英語:
    • tell me what you think of this picture i edited
    • this is the funniest photo ever!
    • tell me what you think of this photo
    • i don't think i will ever sleep again after seeing this photo
    • i cant believe i still have this picture
    • should i make this my default picture?
  • フランス語:
    • je ne pense pas que je vais pouvoir dormir après avoir vu ces photos.
    • je n'arrive pas a croire que j'ai encore cette photo de toi depuis l'hiver dernier.
    • devrais-je mettre cette photo de profile?
    • c'est la photo la plus marrante!
    • dis moi ce que tu pense de cette photo de moi?
    • mes parents vont me tués si ils trouvent cette photo
  • スペイン語:
    • creo que no voy a poder dormir más despues de ver esta foto. mirá
    • no puedo creer que todav
    • a tengo esta foto tuya del invierno pasado, te acordas?
    • quedarí a bien si pongo esta foto en mi perfil? o me veo medio mal?
    • esta foto es gracios
    • mis padres me van a matar si ven esta foto mia, que decis?
  • ドイツ語:
    • wie findest du das foto?
    • hab ich dir das foto schon gezeigt?
    • das foto solltest du wirklich sehen
    • schau mal das foto an
    • unglaublich welche fotos leute von sich machen schau mal
    • so will ich nicht aussehen wenn ich alt bin
    • schau mal welches foto ich gefunden hab
    • bist du das auf dem foto?
    • kennst du das foto schon?
  • オランダ語:
    • ken je dat foto nog?
    • kijk wat voor een foto ik heb gevonden
    • zo iets leilijk heb ik nog nooit in mijn leven gezien
    • ik hoop dat jij het net bent op dit foto
    • ben jij dat op dit foto?
    • dit foto zal je echt eens bekijken!
    • ken je dit foto al?
  • ルーマニア語:
    • nu imi mai voi face niciodat poze!! toate ies urate ca asta.
    • spune-mi ce crezi despre poza asta.
    • asta e ce-a mai funny poza! tu ce zici?
    • zimi ce crezi despre poza asta?
    • nu cred ca voi mai putea dormi dupa ce am vazut poza asta. tu ce zici?
  • イタリア語:
    • ti piace la foto?
    • hai visto questa foto?
    • la foto e grandiosa!
    • ti ricordi la Foto?
    • dopo che hai visto la foto, tu non dormirai piu
    • conosci la persona in questa foto?
    • chi e in questa foto?

ワームは、ルートキット機能を備えていません。

ワームは、脆弱性を利用した感染活動を行いません。

マルウェアが実行するコマンドは、以下のとおりです。

  • IM「Google トーク」および/または「ICQ」を介した感染活動の実行
  • 任意のファイルのダウンロードおよび実行
  • サービス拒否(DoS)攻撃の実行(SYNフラッド攻撃)
  • 他のIRCチャンネルへの参加
  • 自身のアンインストール

  対応方法

対応検索エンジン: 9.300
初回 VSAPI パターンバージョン 9.846.02
初回 VSAPI パターンリリース日 2013年3月18日
VSAPI OPR パターンバージョン 9.847.00
VSAPI OPR パターンリリース日 2013年3月19日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Microsoft® Windows Update = "%User Profile%\M-1-25-8784-4125-7572\winsvc.exe"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %User Profile%\M-1-25-8784-4125-7572\winsvc.exe = "%User Profile%\M-1-25-8784-4125-7572\winsvc.exe:*:Enabled:Microsoft® Windows Update"

手順 4

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Profile%\M-1-25-8784-4125-7572
  • {Removable Drive}:\94728631

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Application Data%\msnsvconfig.txt

手順 6

「WORM_PHORPIEX.B」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。

[ 詳細 ]
[autorun]
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shellexecute=windrvs32.exe
UseAutoPlay=1

手順 7

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_PHORPIEX.B」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

註:手順 6の前に以下の作業を行なってください。

リムーバブルドライブ内に存在し、このワームによって作成されたすべての "<フォルダ名>.LNK" を削除してください。


ご利用はいかがでしたか? アンケートにご協力ください