Trend Micro Security

WORM_SLENFBOT.LKF

2018年7月24日
 解析者: Kiyoshi Obuchi   
 別名:

VirTool:Win32/CeeInject.gen!FZ (Microsoft), W32/IRCBot.worm.f (McAfee), W32/Slenfb-Gen (Sophos)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成, 物理ドライブまたはリムーバブルドライブ経由による侵入

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

  詳細

ファイルサイズ 142,848 bytes
タイプ EXE
メモリ常駐 はい
発見日 2012年2月9日
ペイロード システムセキュリティへの感染活動, URLまたはIPアドレスに接続, プロセスの強制終了

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\igfxdt86.exe (with Admin Rights)
  • %User Profile%\Network\igfxdt86.exe (without Admin Rights)
  • %Windows%\SysWow64\ igfxdt86.exe ( with 64 bit Admin Rights)

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

ワームは、以下のフォルダを作成します。

  • %User Profile%\Network - (without Admin Rights)

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)

ワームは、以下のプロセスにコードを組み込みます。

  • explorer.exe

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Intel Wifi Protocal = "%System%\igfxdt86.exe" (with Admin Rights)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Intel Wifi Protocal = "%User Profile%\Network\igfxdt86.exe" (without Admin Rights)

他のシステム変更

ワームは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags\
Layers
%System%\igfxdt86.exe = "DisableNXShowUI" (with Admin Rights)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%System%\igfxdt86.exe = "%System%\igfxdt86.exe:*:Enabled:Intel Wifi Protocal (with Admin Rights)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\igfxdt86.exe = "%System%igfxdt86.exe:*:Enabled:Intel Wifi Protocal" (with Admin Rights)

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%User Profile%\Network\igfxdt86.exe = "%User Profile%\Network\igfxdt86.exe:*:Enabled:Intel Wifi Protocal" (without Admin Rights)

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%User Profile%\Network\igfxdt86.exe = "%User Profile%\Network\igfxdt86.exe:*:Enabled:Intel Wifi Protocal" (without Admin Rights)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\AppCompatFlags\
Layers
%User Profile%\Network\igfxdt86.exe = "DisableNXShowUI" (without Admin Rights)

感染活動

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[Autorun]
open=bootdev-p49682.x32
icon=%windir%\system32\SHELL32.dll,3
action=Browse the contents of the drive.
shell\open=Open
shell\open\command=Sysmount.{GUID}\bootdev-p49682.x32
shell\open\default=1
useautoplay=1

バックドア活動

ワームは、以下のいずれかのIRCサーバに接続します。

  • http://j52.coax-{BLOCKED}-{BLOCKED}.su
  • http://j65.coax-{BLOCKED}-{BLOCKED}.su
  • http://j30.bull-{BLOCKED}-{BLOCKED}.su
  • http://j13.bull-{BLOCKED}-{BLOCKED}.su
  • http://j27.bull-{BLOCKED}-{BLOCKED}.su
  • http://j49.coax-{BLOCKED}-{BLOCKED}.su

ワームは、不正リモートユーザからの以下のコマンドを実行します。

  • Create/Open/Delete Files
  • Create/Terminate Process
  • Download/Upload files
  • Join IRC

プロセスの終了

ワームは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • TEATIMER.EXE
  • MRT.EXE
  • MRTSTUB.EXE
  • HIJACKTHIS.EXE
  • MSPENG.EXE
  • MSASCUI.EXE
  • MPCMDRUN.EXE
  • USBGUARD.EXE
  • BILLY.EXE
  • AADRUVE32.EXE

ダウンロード活動

ワームは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

  • http://vps682.inte{BLOCKED}.su/net/5x2.zip

その他

ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • http://www.whatismyip.org

ただし、情報公開日現在、このWebサイトにはアクセスできません。

<補足>
インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\igfxdt86.exe(管理者権限がある場合)
  • %User Profile%\Network\igfxdt86.exe(管理者権限がない場合)
  • %Windows%\SysWow64\ igfxdt86.exe (64ビットOSで管理者権限がある場合)

ワームは、以下のフォルダを作成します。

  • %User Profile%\Network - (管理者権限がない場合)

バックドア活動

ワームは、不正リモートユーザからの以下のコマンドを実行します。

  • ファイルを作成する・開く・削除する
  • プロセスを作成する・終了する
  • ファイルをダウンロードする・アップロードする
  • IRCに参加する

その他

ワームは以下を実行します。

  • 以下の条件を満たす場合、ワームは自身を終了して削除します。
    • ファイル名に以下の文字列のいずれかが含まれている場合
      • sample
      • virus
      • sand-box
      • sandbox
      • malware
      • test
    • 感染システムのコンピュータ名が以下のいずれかの場合
      • VMG-CLIENT
      • MORTE
      • Malekal
      • HOME-OFF-D5F0AC
      • DELL-D3E62F7E26
      • KAKAPROU-6405DA
    • 感染システムに確認されたユーザ名が以下のいずれかである場合
      • VMG-CLIENT
      • MORTE
      • Malekal
      • HOME-OFF-D5F0AC
      • DELL-D3E62F7E26
      • KAKAPROU-6405DA
      • klasnich
    • ワームは、以下のレジストリからエントリを列挙し、仮想環境で実行されているかどうかをチェックします。
      • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Disk\Enum
      • Vmware
      • Vbox
      • Virutual
      • QEMU
    • ワームは、以下のファイルのいずれかがメモリ内で実行されているかどうかをチェックして、自身が仮想環境で実行されているかどうかをチェックします。
      • vbox
      • vmrsrvc
      • vmware
      • tcpview
      • wireshark.exe
      • regshot.exe
      • procmon.exe
      • filemon.exe
      • regmon.exe
      • procdump.exe
      • cports.exe
      • procexp.exe
      • squid.exe
      • dumpcap.exe
      • sbiectrl.exe
    • また、開いているウィンドウやクラスに以下のいずれかが含まれているかどうかを確認します。
      • gdkWindowTopLevel, The Wireshark Network Analyzer
      • CNetmonMainFrame, Microsoft Network Monitor 3.3
      • SmartSniff, SmartSniff
      • CurrPorts,CurrPorts
      • TCPViewClass
      • Process Monitor
    • また、以下のファイルが存在するかどうかをチェックします。
      • %Program Files%\Ethereal\ethereal.html
      • %Program Files%\Microsoft Network Monitor 3\netmon.exe
      • %Program Files%\WinPcap\rpcapd.exe
      • %Program Files%\WireShark\rawshark.exe
    • ワームは、IRCサーバーにログインするとき、以下の認証情報を使用します。
      • NICK: {国}|X-218|0|{OS}|{番号}
      • USER: XP-SPX
      • PASSWORD: su1c1d3

    • ワームは、以下のURLにアクセスして暗号化されたバックドアコマンドを取得します。
      • http://{BLOCKED}.{BLOCKED}.35.28/awstats/rdat02.txt
    • ワームは、すべてのネットワークドライブおよびリムーバブルドライブ内に以下のフォルダを作成します。
      • {ドライブ文字}:\Sysmount.{GUID}
    • ワームは、すべてのネットワークドライブおよびリムーバブルドライブ内に以下のように自身のコピーのファイルを作成します。
      • {ドライブ文字}:\Sysmount.{GUID}\bootdev-p49682.x32

      対応方法

    対応検索エンジン: 9.850
    初回 VSAPI パターンバージョン 11.562.02
    初回 VSAPI パターンリリース日 2015年3月26日
    VSAPI OPR パターンバージョン 11.563.00
    VSAPI OPR パターンリリース日 2015年3月27日

    手順 1

    Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

    手順 2

    回復コンソールを使用して、WORM_SLENFBOT.LKF として検出されるファイルを確認し、削除します。

    [ 詳細 ]

    手順 3

    「WORM_SLENFBOT.LKF」で検出したファイル名を確認し、そのファイルを終了します。

    [ 詳細 ]

    • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
    • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
      セーフモードについては、こちらをご参照下さい。
    • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

    手順 4

    このレジストリ値を削除します。

    [ 詳細 ]

    警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
    レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
    レジストリの編集前にこちらをご参照ください。

    • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
      • %System%\igfxdt86.exe = "DisableNXShowUI" (with Admin Rights)
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
      • %System%\igfxdt86.exe = "%System%\igfxdt86.exe:*:Enabled:Intel Wifi Protocal
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
      • %System%\igfxdt86.exe = "%System%igfxdt86.exe:*:Enabled:Intel Wifi Protocal" (with Admin Rights)
    • In HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
      • %User Profile%\Network\igfxdt86.exe = "%User Profile%\Network\igfxdt86.exe:*:Enabled:Intel Wifi Protocal" (without Admin Rights)
    • In HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
      • %User Profile%\Network\igfxdt86.exe = "%User Profile%\Network\igfxdt86.exe:*:Enabled:Intel Wifi Protocal" (without Admin Rights)
    • In HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
      • %User Profile%\Network\igfxdt86.exe = "DisableNXShowUI" (without Admin Rights)
    • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      • Intel Wifi Protocal = "%System%\igfxdt86.exe" (with Admin Rights)
    • In HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      • Intel Wifi Protocal = "%User Profile%\Network\igfxdt86.exe" (without Admin Rights)

    手順 5

    以下のフォルダを検索し削除します。

    [ 詳細 ]
    フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
    • %User Profile%\Network
    • {drive letter}:\Sysmount.{GUID}
  • Windows 2000、XP および Server 2003 の場合:

    1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
    2. [ファイル名のすべてまたは一部]に、以下のフォルダ名を入力してください。
      • %User Profile%\Network
      • {drive letter}:\Sysmount.{GUID}
    3. [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
    4. 検索が終了したら、フォルダを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。
    5. 残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.)から 4.)を繰り返してください。
      • %User Profile%\Network
      • {drive letter}:\Sysmount.{GUID}
      註:ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。(例:ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索)

  • Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合:

    1. Windowsエクスプローラ画面を開きます。
      • Windows Vista、7 および Server 2008 の場合:
        • [スタート]-[コンピューター]を選択します。
      • Windows 8、8.1 および Server 2012 の場合:
        • 画面の左隅を右クリックし、[エクスプローラー]を選択します。
    2. [コンピューターの検索]に、以下を入力します。
      • %User Profile%\Network
      • {drive letter}:\Sysmount.{GUID}
    3. 検索が終了したら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。
    4. 残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.)から 3.)を繰り返してください。
      • %User Profile%\Network
      • {drive letter}:\Sysmount.{GUID}
      註:Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 6

「WORM_SLENFBOT.LKF」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。

[ 詳細 ]
[Autorun] open=bootdev-p49682.x32 icon=%windir%\system32\SHELL32.dll,3 action=Browse the contents of the drive. shell\open=Open shell\open\command=Sysmount.{GUID}\bootdev-p49682.x32 shell\open\default=1 useautoplay=1

手順 7

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_SLENFBOT.LKF」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください