WORM_PHORPIEX.YOP
Backdoor:Win32/Kirts.A (Microsoft) ; Trojan.Win32.Nisloder.dt (Kaspersky)
Windows
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、レジストリ値を変更し、複数のシステムサービスを無効にします。これにより、システムに必要な機能が起動しません。
ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。 ワームは、ネットワークドライブ内に自身のコピーを作成します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のフォルダを追加します。
- {removable or network drive}:\_
- %Windows%\M-505038403028403028485929287348745929273958292048430
- %User Temp%\ns{5-random characters}.tmp
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- {removable or network drive}:\_\DeviceConfigManager.exe
ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %Windows%\M-505038403028403028485929287348745929273958292048430\winmgr.exe
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
ワームは、以下のファイルを作成します。
- {removable/network drive}:\.lnk -> Shortcut for DeviceConfigManager.vbs
- {removable/network drive}:\DeviceConfigManager.vbs -> Executes _\DeviceConfigManager.exe
- {removable/network drive}:\autorun.inf -> Automatically executes _\DeviceConfigManager.exe on plug-in
- {removable/network drive}:\_\DeviceConfigManager.exe
- %User Temp%\Cornetcy.cab -> Encrypted malicious code
- %User Temp%\ns{5-random character}.tmp\System.dll
- %User Temp%\{random filename}.bat -> deletes the original malware file and is deleted after execution
- %User Temp%\mogs.dll -> Decrypts the malicious code and injects it into itself
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- t1
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Microsoft Windows Manager = %Windows%\M-505038403028403028485929287348745929273958292048430\winmgr.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Windows Manager = %Windows%\M-505038403028403028485929287348745929273958292048430\winmgr.exe
他のシステム変更
ワームは、レジストリ値を変更し、以下のシステムサービスを無効化します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyWare = 1
(註:変更前の上記レジストリ値は、「0」となります。)
ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\M-505038403028403028485929287348745929273958292048430\winmgr.exe = %Windows%\M-505038403028403028485929287348745929273958292048430\winmgr.exe:*:Enabled:Microsoft Windows Manager
感染活動
ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。
ワームは、ネットワークドライブ内に自身のコピーを作成します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
{garbage strings}
[autorun]
{garbage strings}
icon=%SystemRoot%\system32\SHELL32.dll,4
{garbage strings}
open=_\DeviceConfigManager.exe
{garbage strings}
UseAutoPlay=1
{garbage strings}
バックドア活動
ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- {BLOCKED}.{BLOCKED}.87.80:5050
- {BLOCKED}vienvaiebai.at
- {BLOCKED}vienvaiebai.be
- {BLOCKED}vienvaiebai.br
- {BLOCKED}vienvaiebai.com
- {BLOCKED}vienvaiebai.de
- {BLOCKED}vienvaiebai.es
- {BLOCKED}vienvaiebai.fr
- {BLOCKED}vienvaiebai.gr
- {BLOCKED}vienvaiebai.hu
- {BLOCKED}vienvaiebai.in
- {BLOCKED}vienvaiebai.info
- {BLOCKED}vienvaiebai.ir
- {BLOCKED}vienvaiebai.it
- {BLOCKED}vienvaiebai.kz
- {BLOCKED}vienvaiebai.lu
- {BLOCKED}vienvaiebai.md
- {BLOCKED}vienvaiebai.mobi
- {BLOCKED}vienvaiebai.name
- {BLOCKED}vienvaiebai.net
- {BLOCKED}vienvaiebai.nl
- {BLOCKED}vienvaiebai.org
- {BLOCKED}vienvaiebai.pl
- {BLOCKED}vienvaiebai.ro
- {BLOCKED}vienvaiebai.ru
- {BLOCKED}vienvaiebai.su
- {BLOCKED}vienvaiebai.ua
- {BLOCKED}vienvaiebai.ws
- {BLOCKED}boabobfaoua.at
- {BLOCKED}boabobfaoua.be
- {BLOCKED}boabobfaoua.br
- {BLOCKED}boabobfaoua.com
- {BLOCKED}boabobfaoua.de
- {BLOCKED}boabobfaoua.es
- {BLOCKED}boabobfaoua.fr
- {BLOCKED}boabobfaoua.gr
- {BLOCKED}boabobfaoua.hu
- {BLOCKED}boabobfaoua.in
- {BLOCKED}boabobfaoua.info
- {BLOCKED}boabobfaoua.ir
- {BLOCKED}boabobfaoua.it
- {BLOCKED}boabobfaoua.kz
- {BLOCKED}boabobfaoua.lu
- {BLOCKED}boabobfaoua.md
- {BLOCKED}boabobfaoua.mobi
- {BLOCKED}boabobfaoua.name
- {BLOCKED}boabobfaoua.net
- {BLOCKED}boabobfaoua.nl
- {BLOCKED}boabobfaoua.org
- {BLOCKED}boabobfaoua.pl
- {BLOCKED}boabobfaoua.ro
- {BLOCKED}boabobfaoua.ru
- {BLOCKED}boabobfaoua.su
- {BLOCKED}boabobfaoua.ua
- {BLOCKED}boabobfaoua.ws
- {BLOCKED}haioeoaiegj.at
- {BLOCKED}haioeoaiegj.be
- {BLOCKED}haioeoaiegj.br
- {BLOCKED}haioeoaiegj.com
- {BLOCKED}haioeoaiegj.de
- {BLOCKED}haioeoaiegj.es
- {BLOCKED}haioeoaiegj.fr
- {BLOCKED}haioeoaiegj.gr
- {BLOCKED}haioeoaiegj.hu
- {BLOCKED}haioeoaiegj.in
- {BLOCKED}haioeoaiegj.info
- {BLOCKED}haioeoaiegj.ir
- {BLOCKED}haioeoaiegj.it
- {BLOCKED}haioeoaiegj.kz
- {BLOCKED}haioeoaiegj.lu
- {BLOCKED}haioeoaiegj.md
- {BLOCKED}haioeoaiegj.mobi
- {BLOCKED}haioeoaiegj.name
- {BLOCKED}haioeoaiegj.net
- {BLOCKED}haioeoaiegj.nl
- {BLOCKED}haioeoaiegj.org
- {BLOCKED}haioeoaiegj.pl
- {BLOCKED}haioeoaiegj.ro
- {BLOCKED}haioeoaiegj.ru
- {BLOCKED}haioeoaiegj.su
- {BLOCKED}haioeoaiegj.ua
- {BLOCKED}haioeoaiegj.ws
- {BLOCKED}eogbuaeofua.at
- {BLOCKED}eogbuaeofua.be
- {BLOCKED}eogbuaeofua.br
- {BLOCKED}eogbuaeofua.com
- {BLOCKED}eogbuaeofua.de
- {BLOCKED}eogbuaeofua.es
- {BLOCKED}eogbuaeofua.fr
- {BLOCKED}eogbuaeofua.gr
- {BLOCKED}eogbuaeofua.hu
- {BLOCKED}eogbuaeofua.in
- {BLOCKED}eogbuaeofua.info
- {BLOCKED}eogbuaeofua.ir
- {BLOCKED}eogbuaeofua.it
- {BLOCKED}eogbuaeofua.kz
- {BLOCKED}eogbuaeofua.lu
- {BLOCKED}eogbuaeofua.md
- {BLOCKED}eogbuaeofua.mobi
- {BLOCKED}eogbuaeofua.name
- {BLOCKED}eogbuaeofua.net
- {BLOCKED}eogbuaeofua.nl
- {BLOCKED}eogbuaeofua.org
- {BLOCKED}eogbuaeofua.pl
- {BLOCKED}eogbuaeofua.ro
- {BLOCKED}eogbuaeofua.ru
- {BLOCKED}eogbuaeofua.su
- {BLOCKED}eogbuaeofua.ua
- {BLOCKED}eogbuaeofua.ws
- {BLOCKED}odbuebieibg.at
- {BLOCKED}odbuebieibg.be
- {BLOCKED}odbuebieibg.br
- {BLOCKED}odbuebieibg.com
- {BLOCKED}odbuebieibg.de
- {BLOCKED}odbuebieibg.es
- {BLOCKED}odbuebieibg.fr
- {BLOCKED}odbuebieibg.gr
- {BLOCKED}odbuebieibg.hu
- {BLOCKED}odbuebieibg.in
- {BLOCKED}odbuebieibg.info
- {BLOCKED}odbuebieibg.ir
- {BLOCKED}odbuebieibg.it
- {BLOCKED}odbuebieibg.kz
- {BLOCKED}odbuebieibg.lu
- {BLOCKED}odbuebieibg.md
- {BLOCKED}odbuebieibg.mobi
- {BLOCKED}odbuebieibg.name
- {BLOCKED}odbuebieibg.net
- {BLOCKED}odbuebieibg.nl
- {BLOCKED}odbuebieibg.org
- {BLOCKED}odbuebieibg.pl
- {BLOCKED}odbuebieibg.ro
- {BLOCKED}odbuebieibg.ru
- {BLOCKED}odbuebieibg.su
- {BLOCKED}odbuebieibg.ua
- {BLOCKED}odbuebieibg.ws
- {BLOCKED}hpnpnapcipa.at
- {BLOCKED}hpnpnapcipa.be
- {BLOCKED}hpnpnapcipa.br
- {BLOCKED}hpnpnapcipa.com
- {BLOCKED}hpnpnapcipa.de
- {BLOCKED}hpnpnapcipa.es
- {BLOCKED}hpnpnapcipa.fr
- {BLOCKED}hpnpnapcipa.gr
- {BLOCKED}hpnpnapcipa.hu
- {BLOCKED}hpnpnapcipa.in
- {BLOCKED}hpnpnapcipa.info
- {BLOCKED}hpnpnapcipa.ir
- {BLOCKED}hpnpnapcipa.it
- {BLOCKED}hpnpnapcipa.kz
- {BLOCKED}hpnpnapcipa.lu
- {BLOCKED}hpnpnapcipa.md
- {BLOCKED}hpnpnapcipa.mobi
- {BLOCKED}hpnpnapcipa.name
- {BLOCKED}hpnpnapcipa.net
- {BLOCKED}hpnpnapcipa.nl
- {BLOCKED}hpnpnapcipa.org
- {BLOCKED}hpnpnapcipa.pl
- {BLOCKED}hpnpnapcipa.ro
- {BLOCKED}hpnpnapcipa.ru
- {BLOCKED}hpnpnapcipa.su
- {BLOCKED}hpnpnapcipa.ua
- {BLOCKED}hpnpnapcipa.ws
- {BLOCKED}beogoaehgoi.at
- {BLOCKED}beogoaehgoi.be
- {BLOCKED}beogoaehgoi.br
- {BLOCKED}beogoaehgoi.com
- {BLOCKED}beogoaehgoi.de
- {BLOCKED}beogoaehgoi.es
- {BLOCKED}beogoaehgoi.fr
- {BLOCKED}beogoaehgoi.gr
- {BLOCKED}beogoaehgoi.hu
- {BLOCKED}beogoaehgoi.in
- {BLOCKED}beogoaehgoi.info
- {BLOCKED}beogoaehgoi.ir
- {BLOCKED}beogoaehgoi.it
- {BLOCKED}beogoaehgoi.kz
- {BLOCKED}beogoaehgoi.lu
- {BLOCKED}beogoaehgoi.md
- {BLOCKED}beogoaehgoi.mobi
- {BLOCKED}beogoaehgoi.name
- {BLOCKED}beogoaehgoi.net
- {BLOCKED}beogoaehgoi.nl
- {BLOCKED}beogoaehgoi.org
- {BLOCKED}beogoaehgoi.pl
- {BLOCKED}beogoaehgoi.ro
- {BLOCKED}beogoaehgoi.ru
- {BLOCKED}beogoaehgoi.su
- {BLOCKED}beogoaehgoi.ua
- {BLOCKED}beogoaehgoi.ws
- {BLOCKED}oeaboeubfuo.at
- {BLOCKED}oeaboeubfuo.be
- {BLOCKED}oeaboeubfuo.br
- {BLOCKED}oeaboeubfuo.com
- {BLOCKED}oeaboeubfuo.de
- {BLOCKED}oeaboeubfuo.es
- {BLOCKED}oeaboeubfuo.fr
- {BLOCKED}oeaboeubfuo.gr
- {BLOCKED}oeaboeubfuo.hu
- {BLOCKED}oeaboeubfuo.in
- {BLOCKED}oeaboeubfuo.info
- {BLOCKED}oeaboeubfuo.ir
- {BLOCKED}oeaboeubfuo.it
- {BLOCKED}oeaboeubfuo.kz
- {BLOCKED}oeaboeubfuo.lu
- {BLOCKED}oeaboeubfuo.md
- {BLOCKED}oeaboeubfuo.mobi
- {BLOCKED}oeaboeubfuo.name
- {BLOCKED}oeaboeubfuo.net
- {BLOCKED}oeaboeubfuo.nl
- {BLOCKED}oeaboeubfuo.org
- {BLOCKED}oeaboeubfuo.pl
- {BLOCKED}oeaboeubfuo.ro
- {BLOCKED}oeaboeubfuo.ru
- {BLOCKED}oeaboeubfuo.su
- {BLOCKED}oeaboeubfuo.ua
- {BLOCKED}oeaboeubfuo.ws
- {BLOCKED}uhgsorhugih.at
- {BLOCKED}uhgsorhugih.be
- {BLOCKED}uhgsorhugih.br
- {BLOCKED}uhgsorhugih.com
- {BLOCKED}uhgsorhugih.de
- {BLOCKED}uhgsorhugih.es
- {BLOCKED}uhgsorhugih.fr
- {BLOCKED}uhgsorhugih.gr
- {BLOCKED}uhgsorhugih.hu
- {BLOCKED}uhgsorhugih.in
- {BLOCKED}uhgsorhugih.info
- {BLOCKED}uhgsorhugih.ir
- {BLOCKED}uhgsorhugih.it
- {BLOCKED}uhgsorhugih.kz
- {BLOCKED}uhgsorhugih.lu
- {BLOCKED}uhgsorhugih.md
- {BLOCKED}uhgsorhugih.mobi
- {BLOCKED}uhgsorhugih.name
- {BLOCKED}uhgsorhugih.net
- {BLOCKED}uhgsorhugih.nl
- {BLOCKED}uhgsorhugih.org
- {BLOCKED}uhgsorhugih.pl
- {BLOCKED}uhgsorhugih.ro
- {BLOCKED}uhgsorhugih.ru
- {BLOCKED}uhgsorhugih.su
- {BLOCKED}uhgsorhugih.ua
- {BLOCKED}uhgsorhugih.ws
- {BLOCKED}biiegiiciib.at
- {BLOCKED}biiegiiciib.be
- {BLOCKED}biiegiiciib.br
- {BLOCKED}biiegiiciib.com
- {BLOCKED}biiegiiciib.de
- {BLOCKED}biiegiiciib.es
- {BLOCKED}biiegiiciib.fr
- {BLOCKED}biiegiiciib.gr
- {BLOCKED}biiegiiciib.hu
- {BLOCKED}biiegiiciib.in
- {BLOCKED}biiegiiciib.info
- {BLOCKED}biiegiiciib.ir
- {BLOCKED}biiegiiciib.it
- {BLOCKED}biiegiiciib.kz
- {BLOCKED}biiegiiciib.lu
- {BLOCKED}biiegiiciib.md
- {BLOCKED}biiegiiciib.mobi
- {BLOCKED}biiegiiciib.name
- {BLOCKED}biiegiiciib.net
- {BLOCKED}biiegiiciib.nl
- {BLOCKED}biiegiiciib.org
- {BLOCKED}biiegiiciib.pl
- {BLOCKED}biiegiiciib.ro
- {BLOCKED}biiegiiciib.ru
- {BLOCKED}biiegiiciib.su
- {BLOCKED}biiegiiciib.ua
- {BLOCKED}biiegiiciib.ws
ただし、情報公開日現在、このWebサイトにはアクセスできません。
ワームは、リモートでInternet Relay Chat (IRC)サーバにアクセスし、不正リモートユーザから以下のコマンドを受信します。
- Download and execute files
- Join another IRC server
- Uninstall itself
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
「WORM_PHORPIEX.YOP」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %Windows%\M-505038403028403028485929287348745929273958292048430\winmgr.exe = %Windows%\M-505038403028403028485929287348745929273958292048430\winmgr.exe:*:Enabled:Microsoft Windows Manager
- %Windows%\M-505038403028403028485929287348745929273958292048430\winmgr.exe = %Windows%\M-505038403028403028485929287348745929273958292048430\winmgr.exe:*:Enabled:Microsoft Windows Manager
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Microsoft Windows Manager = "%Windows%\M-505038403028403028485929287348745929273958292048430\winmgr.exe"
- Microsoft Windows Manager = "%Windows%\M-505038403028403028485929287348745929273958292048430\winmgr.exe"
- In HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Microsoft Windows Manager = "%Windows%\M-505038403028403028485929287348745929273958292048430\winmgr.exe"
- Microsoft Windows Manager = "%Windows%\M-505038403028403028485929287348745929273958292048430\winmgr.exe"
手順 5
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
- From: DisableAntiSpyWare = 1
To: Start = "0"
- From: DisableAntiSpyWare = 1
手順 6
以下のフォルダを検索し削除します。
- %Windows%\M-505038403028403028485929287348745929273958292048430
- %User Temp%\ns{5-random characters}.tmp
手順 7
「WORM_PHORPIEX.YOP」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。
- {garbage strings}
- [autorun]
- {garbage strings}
- icon=%SystemRoot%\system32\SHELL32.dll,4
- {garbage strings}
- open=_\DeviceConfigManager.exe
- {garbage strings}
- UseAutoPlay=1
- {garbage strings}
手順 8
以下のファイルを検索し削除します。
- {removable or network drive}:\.lnk
- {removable or network drive}:\DeviceConfigManager.vbs
- {removable or network drive}:\_\DeviceConfigManager.exe
- %User Temp%\Cornetcy.cab
- %User Temp%\mogs.dll
手順 9
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_PHORPIEX.YOP」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください