Trend Micro Security

WORM_UTOTI.KDS

2012年10月8日
 解析者: JasperM   
 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 リムーバブルドライブを介した感染活動, ピアツーピア(P2P)ネットワークを介した感染活動

ワームは、他のマルウェアに作成され、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、ランダムにポートを開き、不正リモートユーザが感染コンピュータに接続できるようにします。接続されると、不正リモートユーザは、感染コンピュータ上でのコマンド実行が可能となります。 ワームは、特定のWebサイトにアクセスし、情報を送受信します。

ワームは、感染コンピュータ上の特定の情報を収集します。 ワームは、システム情報を収集します。

ワームは、接続されると、特定のURLにアクセスし、新しいIPアドレスを確認します。

  詳細

ファイルサイズ 610,248 bytes
タイプ PE
メモリ常駐 はい
発見日 2010年9月14日
ペイロード 情報収集

侵入方法

ワームは、他のマルウェアに作成され、コンピュータに侵入します。

ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\csrcs.exe

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
csrcs = "%System%\csrcs.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
csrcs = "%System%\csrcs.exe"

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe csrcs.exe

(註:変更前の上記レジストリ値は、「Explorer.exe」となります。)

ワームは、以下のファイルを作成します。

  • %System Root%\khx - non malicious
  • %System%\autorun.i - copy of autorun.inf dropped in removable drives
  • %System%\autorun.in - copy of autorun.inf dropped in removable drives

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

他のシステム変更

ワームは、インストールの過程で以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
ilop = 1

ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 2

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = 0

(註:変更前の上記レジストリ値は、「1」となります。)

感染活動

ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。

ワームは、以下の共有フォルダ内に自身のコピーを作成します。

  • FrostWire
  • eMule
  • Kazaa
  • LimeWire
  • Shareaza
  • DC++
  • Ares
  • Adobe Photoshop CS4 Extended
  • Nero 9 Reloaded 9.4.26.0
  • Microsoft Office Enterprise 2007
  • Microsoft Windows 7 Ultimate Retail(Final) x86 and x64
  • WinRAR v3.90 Final
  • WinRAR v4.0 Final
  • WinRAR v5.0 Final
  • LimeWire PRO v5.4.6.1 Final
  • WinZip PRO v14.1
  • WinZip PRO v15.1
  • WinZip PRO v16.1
  • Metro 2033 Proper
  • Battlefield Bad Company 2
  • Just Cause 2
  • Assassins Creed 2
  • Mass_Effect_2
  • The Sims 3 Final
  • BioShock_2
  • TuneUp.Utilities.2010.v9.0.3100.22-TE
  • Sony Vegas Pro 9.0c Build 896 [32.64 bit]
  • Command & Conquer 4 Tiberian Twilight Retail
  • Counter-Strike 1.6 v.38
  • Batman.Arkham.Asylum
  • Pro.Evolution.Soccer.2010
  • Call of Duty 4 Modern Warfare
  • Call of duty 5 World At War
  • Fallout.3.Game.of.the.Year.Edition
  • Diablo 2 + Diablo 2: Lord Of Destruction
  • Grand Theft Auto Vice City
  • Warhammer 40000 Dawn Of War II Chaos Rising
  • Adobe Flash CS4 Professional
  • Pinnacle Studio 14 HD Ultimate
  • Autodesk AutoCAD 2010
  • Partition Magic 8
  • ConvertXtoDVD v4.x
  • Mathworks.Matlab.R2010a
  • Alcohol 120 v2.x
  • Adobe Illustrator CS4
  • DAEMON Tools Pro Advanced 4.x
  • Rosetta.Stone.V.3.3.5.Plus
  • Aliens Vs Predator Proper
  • Dragon Age Origins
  • Need.For.Speed.Shift

ワームは、以下のファイル名を用いて、ネットワーク共有フォルダ内に自身のコピーを作成します。

  • Crack
  • Activator
  • Keygen
  • Validator
  • Razor1911
  • RELOADED
  • KeyMaker

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

;{garbage}
[AutoRun]
;{garbage}
Shell\open\default=1
;{garbage}
OPEN={malware name}.exe
;{garbage}
Shell\open\command={malware name}.exe
;{garbage}

バックドア活動

ワームは、ランダムにポートを開き、不正リモートユーザが感染コンピュータ上にアクセスするのを可能にします。接続されると、不正リモートユーザは、感染コンピュータ上でコマンドを実行します。

ワームは、以下のWebサイトにアクセスし、情報を送受信します。

  • {BLOCKED}se.{BLOCKED}six.com
  • www.{BLOCKED}ad.com
  • {BLOCKED}y.{BLOCKED}me.cx
  • www.{BLOCKED}ad.com.cn

情報漏えい

ワームは、感染コンピュータ上の以下の情報を収集します。

  • User name
  • Computer name
  • OS Version
  • OS Service Pack
  • Home Drive
  • Drive Serial
  • OS Language
  • System Directory

ワームは、システム情報を収集します。

その他

このワームのコードから、ワームは、以下の機能を備えています。

  • It drops copies to shared folders used by P2P applications.
  • The dropped copies in shared folders are compressed using .ZIP and .RAR compression.
  • It connects to websites to get the IP and geographical location of the infected system.

ワームは、接続されると、以下のURLにアクセスし、新しいIPアドレスを確認します。

  • www.{BLOCKED}myip.com/automation/n09230945.asp
  • http://{BLOCKED}c.daiguo.com/?self

  対応方法

対応検索エンジン: 8.900
VSAPI パターンファイル: 7.464.02
VSAPI パターンリリース日: 2010年9月14日
VSAPI パターンリリース日: 9/14/2010 12:00:00 AM

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「WORM_UTOTI.KDS」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • 検出ファイルが、Windows のタスクマネージャまたは Process Explorer に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
    • csrcs=%System%\csrcs.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    • csrcs =%System%\csrcs.exe

手順 4

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
    • From: Shell =Explorer.exe csrcs.exe
      To: Explorer.exe

手順 5

「WORM_UTOTI.KDS」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。

[ 詳細 ]



[Autorun]

action=view files

open={malware filename}.exe

shell\open\Command={malware filename}.exe

shell\open\Default=1

Icon=%system%\shell32.dll,7

UseAutoPLay=1

手順 6

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_UTOTI.KDS」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください