Trend Micro Security

WORM_PHORPIEX.JZ

2013年1月24日
 解析者: Anthony Joe Melgarejo   
 別名:

VirTool:Win32/Obfuscator.ACP (Microsoft), Trojan.Win32.Jorik (Ikarus), Win32/Kryptik.AREB (NOD32)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 Eメールを介したスパム活動, リムーバブルドライブを介した感染活動

トレンドマイクロは、このワームをNoteworthy(要注意)に分類しました。

ワームは、感染活動を行うために、Skypeを利用しスパムメッセージを送信します。送信されるスパムメッセージは、リンクを含んでおり、このワームが自動的にダウンロードされることとなります。またワームは、感染コンピュータのセキュリティを侵害するバックドア機能も備えています。

この事例に関する情報は、セキュリティブログ「ハリケーン「『Shylock』だけが Skype を狙う唯一の脅威ではない」をご参照ください。

ワームは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。 ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、IRCサーバに接続します。 ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

ワームは、実行後、自身を削除します。

  詳細

ファイルサイズ 66,048 bytes
タイプ EXE
メモリ常駐 はい
発見日 2012年12月25日
ペイロード システムセキュリティへの感染活動, URLまたはIPアドレスに接続, ファイルのダウンロード

侵入方法

ワームは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %User Profile%\6489672321067478425\winsvc.exe

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • g4u5f3dg4f

ワームは、自身(コンピュータに侵入して最初に自身のコピーを作成したワーム)を終了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Windows Update = "%User Profile%\6489672321067478425\winsvc.exe"

他のシステム変更

ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%User Profile%\6489672321067478425\winsvc.exe = "%User Profile%\6489672321067478425\winsvc.exe*:Enabled:Microsoft Windows Update"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {drive letter}:\843921.exe

バックドア活動

ワームは、以下のいずれかのIRCサーバに接続します。

  • {BLOCKED}50.asia
  • {BLOCKED}50.in
  • {BLOCKED}50.pro

ワームは、以下のいずれかのIRCチャンネルに接続します。

  • #go

ワームは、不正リモートユーザからの以下のコマンドを実行します。

  • Download and execute arbitrary files

ただし、情報公開日現在、このサーバには接続できません。

ダウンロード活動

ワームは、以下のファイル名でダウンロードしたファイルを保存します。

  • %Application Data%\winsvcns.sys

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

その他

ワームは、実行後、自身を削除します。

ワームは、リムーバブルドライブ内で確認されたフォルダ名を用いて、すべてのリムーバブルドライブ内に、以下に誘導するショートカットファイル(拡張子LNK)を作成します。

  • <ドライブレター>:\843921.exe

ワームは、このフォルダを非表示にします。

ワームは、添付ファイルとして自身のコピーを含むEメールのメッセージを送信します。

ワームは、以下のメールサーバに問い合わせ、Eメールアドレスを検索します。

  • gmx.com

ワームが送信するEメールは、以下の特徴を備えています。

  • ワームは、以下の表示名を利用します。

    Anthony
    Barbara
    Betty
    Brian
    Carol
    Charles
    Christopher
    Daniel
    David
    Deborah
    Donald
    Donna
    Dorothy
    Edward
    Elizabeth
    George
    Helen
    James
    Jason
    Jennifer
    Joseph
    Karen
    Kenneth
    Kevin
    Kimberly
    Laura
    Linda
    Margaret
    Maria
    Michael
    Michelle
    Nancy
    Patricia
    Richard
    Robert
    Ronald
    Sandra
    Sarah
    Sharon
    Steven
    Susan
    Thomas
    William

  • ワームは、以下の件名を利用します。

    Is this you??
    Picture of you???
    Tell me what you think of this picture
    This is the funniest picture ever!
    I cant believe I still have this picture
    Someone showed me your picture
    Your photo isn't really that great
    I love your picture!
    What you think of my new hair color?
    What do you think of my new hair?
    You look so beautiful on this picture
    You should take a look at this picture
    Take a look at my new picture please
    What you think of this picture?
    Should I upload this picture on facebook?
    Someone told me it's your picture

  • ワームは、以下の本文を利用します。

    hahaha
    ;)
    :D
    :P
    :)
    LOL
    ;D

ワームは、添付ファイルとして以下のファイル名を用います。

  • IMG{random number}-JPG.zip

ワームは、ルートキット機能を備えていません。

ワームは、脆弱性を利用した感染活動を行いません。

ワームが実行するコマンドは、以下のとおりです。

  • 任意のファイルのダウンロードおよび実行

  対応方法

対応検索エンジン: 9.300
初回 VSAPI パターンバージョン 9.618.02
初回 VSAPI パターンリリース日 2012年12月26日
VSAPI OPR パターンバージョン 9.619.00
VSAPI OPR パターンリリース日 2012年12月27日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「WORM_PHORPIEX.JZ」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Microsoft Windows Update = "%User Profile%\6489672321067478425\winsvc.exe"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %User Profile%\6489672321067478425\winsvc.exe = "%User Profile%\6489672321067478425\winsvc.exe*:Enabled:Microsoft Windows Update"

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • {drive letter}:\843921.exe
  • %Application Data%\winsvcns.sys
  • {drive letter}:\{folder name}.lnk

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_PHORPIEX.JZ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください