Trend Micro Security

WORM_UTOTI

2012年10月9日
 別名:

Renocide, Autoit, Imaut, Harakit, AutoRun, Otran

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 リムーバブルドライブを介した感染活動, インターネットからのダウンロード

UTOTI」ファミリは、リムーバブルドライブを介した感染活動をすることで知られいています。「UTOTI」または「OTOTI」というファミリ名は、この亜種において用いられるコンパイラ「AutoIt」に由来しています。

このファミリ名を持つワームは、バックドア機能を備えています。コマンド&コントロール(C&C)サーバに接続し、オペレータからのコマンドを受信します。感染コンピュータ上で実行されるコマンドの一部は、以下のとおりです。

  • ファイルのコピー

  • ファイルの削除

  • ファイルのダウンロード

  • Windows Live メッセンジャーに登録されている連絡先のリスト化

  • プロセスのリスト化および終了

  • ネットワーク内のIPアドレスのスキャン

  詳細

ペイロード システムセキュリティへの感染活動

インストール

ワームは、以下のファイルを作成します。

  • %System Root%\khq
  • %System%\autorun.inf
  • %System%\cftm.exe
  • %User Temp%\suicide.bat
  • {drive letter}:\khq
  • {drive letter}\autorun.inf

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\7883290.exe
  • %System%\csrcs.exe
  • {drive letter}\{random}.exe

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe csrcs.exe"

(註:変更前の上記レジストリ値は、「Explorer.exe」となります。)

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
dreg = "{hex values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
eggol = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
exp1 = "{hex values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
fix = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
fix1 = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
ilop = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
regexp = "{numbers}"

ワームは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}.{BLOCKED}.19.236:7358/xDIUYSDFIGU876SXCGHSD54G6SD.php
  • http://{BLOCKED}.{BLOCKED}.19.236:88/xxxxxFD65456DF4Y9876554DFH34DF654H64RY897.php
  • http://{BLOCKED}.{BLOCKED}.19.237:4900/xx76ZXC86ASDRTUT5234SDG8635.php
  • http://{BLOCKED}.{BLOCKED}.19.237:5200/536314S17IY17XX8613NWFRNASRS/Q(999).da
  • http://{BLOCKED}.{BLOCKED}.19.238:4600/xDIUYSDFIGU876SXCGHSD54G6SD.php
  • http://{BLOCKED}.{BLOCKED}.19.238:4800/526314O17CV17RQ274YOEGXMXJW/Q(996).da
  • http://{BLOCKED}.{BLOCKED}.19.238:5300/xxxxxFD65456DF4Y9876554DFH34DF654H64RY897.php
  • http://{BLOCKED}.{BLOCKED}.19.238:5400/527914L17MQ17YV8420ENMWXGVPZ/Q(995).da
  • http://cccp.{BLOCKED}m.cx:9348/fm.htm
  • http://geo.{BLOCKED}q.com:6854/yuyo.php
  • http://{BLOCKED}s.dip.jp:6854/pro.gif
  • http://{BLOCKED}s.dip.jp:6854/yuyal.php
  • http://{BLOCKED}t.com/torrents/?iht=4&ihs1=2&age=0
  • http://kiu.{BLOCKED}atama.com:49213/fem.gif
  • http://star.{BLOCKED}atama.com/yuyo.php
  • http://{BLOCKED}bay.org/top/300
  • http://{BLOCKED}bay.se/top/300

  対応方法

対応検索エンジン: 9.200

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください