WORM_STRAT

2012年10月9日

別名:

Stration; Warezov; Strati

プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: ワーム
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, Ｅメールを介した感染活動

「STRAT」ファミリは、「STRATION」または「WAREZOV」としても知られています。このファミリ名のワームは、スパムメールを送信することで感染活動を行い、他のワームファミリによって既に利用されたシンプルで再利用可能なメッセージを利用します。スパムメールを送信するコンポーネントやダウンロードされたコンポーネントは、トロイの木馬型マルウェアとして検出されます。「STRAT」ファミリの亜種は、2006年に初めて確認されました。

「STRAT」ファミリは、多数の亜種を作成し、大量発生を引き起こすことを目的としています。後の解析から、「STRAT」ファミリは、できるだけ多くのコンピュータに影響に感染し、スパムメールを送信するゾンビ化したネットワークを作り出すことが明らかになりました。

詳細

メモリ常駐はい

ペイロード URLまたはIPアドレスに接続

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%System%\{random file name}.exe
%Windows%\serv.exe
%Windows%\cserv32.exe

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Serv = "%Windows%\serv.exe s"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
cserv32 = "%Windows%\cserv32.exe s"

ワームは、以下のファイルを作成します。

%System%\e1.dll
%System%\hhselz32.dll
%System%\mslsicwd.dll
%System%\{random file name}.dat
%System%\{random file name}.dll
%System%\{random file name}.dll
%System%\{random file name}.exe
%Windows%\cserv32.dat
%Windows%\cserv32.wax
%Windows%\serv.s
%Windows%\serv.wax

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
AppInit_DLLs = "{Random File Name}.dll e1.dll"

(註：変更前の上記レジストリ値は、「{blank}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
AppInit_DLLs = "e1.dll"

(註：変更前の上記レジストリ値は、「blank」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
AppInit_DLLs = "hhselz32.dll"

(註：変更前の上記レジストリ値は、「blank」となります。)

他のシステム変更

ワームは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{random}

ワームは、インストールの過程で以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{random}
DllName = "%System%\{random file name}.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{random}
Startup = "WlxStartupEvent"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{random}
Shutdown = "WlxShutdownEvent"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{random}
Impersonate = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{random}
Asynchronous = "0"

その他

ワームは、以下の不正なWebサイトにアクセスします。

http://{BLOCKED}erreg.com/chr/859/e/b?lid={random}
http://{BLOCKED}rade.{BLOCKED}dotnet.ne/?version=196644&source=kazaa_336
http://www2.{BLOCKED}desachlion.co/cgi-bin/a.cgi
http://www3.{BLOCKED}desachlion.com/cgi-bin/a.cgi
http://www3.{BLOCKED}desachlion.com/chr/tdg/lt.ex
http://www4.{BLOCKED}desachlion.co/chr/tdg/lt.exe
http://www6.{BLOCKED}desachlion.co/chr/tdg/nt.exe
http://www6.{BLOCKED}jinkderunha.com/chr/829/nt.exe
http://www6.{BLOCKED}esinpoion.com/chr/821

対応方法

対応検索エンジン: 9.200

トレンドマイクロのお客様：

最新のバージョン（パターンファイルおよびエンジン）を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス（overwriting virus）、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様：

トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ（ISP）向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。

ご利用はいかがでしたか？　アンケートにご協力ください

WORM_STRAT

概要

詳細

対応方法

関連ブログ記事

関連マルウェア