WORM_VBNA.WTP

2012年10月9日

解析者: Erika Bianca Mendoza

プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: ワーム
破壊活動の有無: なし
暗号化: なし
感染報告の有無: はい

概要

感染経路インスタントメッセンジャ（IM）を介した感染活動, リムーバブルドライブを介した感染活動

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。ワームは、他のマルウェアに作成され、コンピュータに侵入します。ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、IRCサーバに接続します。ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。ただし、情報公開日現在、このWebサイトにはアクセスできません。

詳細

使用ポート TCP 6667 (IRCU)

ファイルサイズ 81920 bytes

タイプ EXE

メモリ常駐はい

発見日 2011年8月11日

ペイロードシステムセキュリティへの感染活動, URLまたはIPアドレスに接続, ファイルのダウンロード, プロセスの強制終了

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、他のマルウェアに作成され、コンピュータに侵入します。

ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

%Application Data%\hidserv.exe

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

TTURJEJDKDF62432DJASDJSDMSDL

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Update System = "%Application Data%\hidserv.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Update System = "%Application Data%\hidserv.exe"

他のシステム変更

ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
Windows Update System = "%Application Data%\hidserv.exe"

感染活動

ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[AutoRun]
open={random}\{random}.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open\command={random}\{random}.exe
shell\open\default=1

ワームは、インスタントメッセンジャ（IM）を用いて以下のメッセージを送信します。

Have you seen this? lol! {URL}
olhar para esta lol! {URL}
spojrzec na lol! {URL}
vejte se na mou lol! {URL}
guardare quest lol! {URL}
You know someone tried to kill obama today!? {URL}
bekijk deze lol! {URL}
mira esta lol! {URL}
schau mal das lol! {URL}
regardez cette lol! {URL}

ワームは、以下のインスタントメッセンジャ（IM）を用いて、メッセージを送信します。このメッセージにはリンクが含まれており、リンク先のリモートサイトには、自身のコピーが組み込まれています。

Windows Live Messenger

バックドア活動

ワームは、以下のポートを開き、リモートコマンドを待機します。

6667

ワームは、以下のいずれかのIRCサーバに接続します。

{BLOCKED}2.{BLOCKED}7.82.177

ワームは、以下のいずれかのIRCチャンネルに接続します。

#Ganja

ワームは、不正リモートユーザからの以下のコマンドを実行します。

KillAv
update
clean
visit
speedtest
ddoser

ただし、情報公開日現在、このWebサイトにはアクセスできません。

対応方法

対応検索エンジン: 8.900

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

メモリ上で実行されているプロセスを終了します。

[ 詳細 ]

註：検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。 hidserv.exe

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Windows Update System = %Application Data%\hidserv.exe
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Windows Update System = %Application Data%\hidserv.exe
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- Windows Update System = %Application Data%\hidserv.exe

手順 4

不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。

[ 詳細 ]

127.0.0.1 www.virustotal.com

127.0.0.1 www.pandasoftware.com

127.0.0.1 www.norton.com

127.0.0.1 www.nod32.com

127.0.0.1 www.microsoft.com

127.0.0.1 www.macafee.com

127.0.0.1 www.kaspersky-labs.com

127.0.0.1 www.hotmail.com

127.0.0.1 www.download.mcafee.com

127.0.0.1 pandasoftware.com

127.0.0.1 norton.com

127.0.0.1 nod32.com

127.0.0.1 microsoft.com

127.0.0.1 macafee.com

127.0.0.1 bitdefender.com

127.0.0.1 www.virusscan.jotti.org

127.0.0.1 www.viruslist.com

127.0.0.1 www.virscan.org

127.0.0.1 www.trendmicro.com

127.0.0.1 www.symantec.com

127.0.0.1 www.sophos.com

127.0.0.1 www.networkassociates.com

127.0.0.1 www.nai.com

127.0.0.1 www.my-etrust.com

127.0.0.1 www.mcafee.com

127.0.0.1 www.kaspersky.com

127.0.0.1 www.grisoft.com

127.0.0.1 www.f-secure.com

127.0.0.1 www.ca.com

127.0.0.1 www.avp.com

127.0.0.1 virustotal.com

127.0.0.1 virusscan.jotti.org

127.0.0.1 viruslist.com

127.0.0.1 virscan.org

127.0.0.1 us.mcafee.com

127.0.0.1 updates.symantec.com

127.0.0.1 update.symantec.com

127.0.0.1 trendmicro.com

127.0.0.1 threatexpert.com

127.0.0.1 symantec.com

127.0.0.1 sophos.com

127.0.0.1 securityresponse.symantec.com

127.0.0.1 secure.nai.com

127.0.0.1 scanner.novirusthanks.org

127.0.0.1 rads.mcafee.com

127.0.0.1 networkassociates.com

127.0.0.1 nai.com

127.0.0.1 my-etrust.com

127.0.0.1 mcafee.com

127.0.0.1 mast.mcafee.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 kaspersky.com

127.0.0.1 kaspersky-labs.com

127.0.0.1 f-secure.com

127.0.0.1 download.mcafee.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 customer.symantec.com

127.0.0.1 ca.com

127.0.0.1 avp.com

HOSTSファイルの修正：

メモ帳などのテキストエディタを用いて、以下のファイルを開きます。
%System%\drivers\etc\HOSTS
(註： %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
下記記述を含む行を削除してください。
127.0.0.1 www.virustotal.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.norton.com
127.0.0.1 www.nod32.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.macafee.com
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 www.hotmail.com
127.0.0.1 www.download.mcafee.com
127.0.0.1 pandasoftware.com
127.0.0.1 norton.com
127.0.0.1 nod32.com
127.0.0.1 microsoft.com
127.0.0.1 macafee.com
127.0.0.1 bitdefender.com
127.0.0.1 www.virusscan.jotti.org
127.0.0.1 www.viruslist.com
127.0.0.1 www.virscan.org
127.0.0.1 www.trendmicro.com
127.0.0.1 www.symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.nai.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.ca.com
127.0.0.1 www.avp.com
127.0.0.1 virustotal.com
127.0.0.1 virusscan.jotti.org
127.0.0.1 viruslist.com
127.0.0.1 virscan.org
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 threatexpert.com
127.0.0.1 symantec.com
127.0.0.1 sophos.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 secure.nai.com
127.0.0.1 scanner.novirusthanks.org
127.0.0.1 rads.mcafee.com
127.0.0.1 networkassociates.com
127.0.0.1 nai.com
127.0.0.1 my-etrust.com
127.0.0.1 mcafee.com
127.0.0.1 mast.mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 f-secure.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 ca.com
127.0.0.1 avp.com
ファイルを保存し、テキストエディタを閉じます。

手順 5

「WORM_VBNA.WTP」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。

[ 詳細 ]

[AutoRun]
open={random}\{random}.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open\command={random}\{random}.exe
shell\open\default=1

手順 6

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_VBNA.WTP」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください