TROJ_RAMNIT.IZ
Mal/Azber-A (Sophos), W32/Azbreg.BOA!tr (Fortinet), Backdoor.Win32.Azbreg (Ikarus), Trojan:Win32/Ramnit.A (Microsoft), variant of Win32/Ramnit.AE.Gen virus (NOD32)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- {All Users' Profile}\Application Data\{random 1}.log
- %Application Data%\{random 2} .log
- %Application Data%\{random 3} .log
- %User Temp%\{random}.sys
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\{random folder name}\{random file name}.exe
- %User Temp%\{random file name}.exe
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)
マルウェアは、以下のフォルダを作成します。
- %Application Data%\{random folder name}
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Application Data%\{random folder name}\{random file name}.exe"
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,,%Application Data\{random folder name}\{random file name}.exe"
(註:変更前の上記レジストリ値は、「"%System%\userinit.exe,"」となります。)
マルウェアは、Windows起動時に自動実行されるよう<スタートアップ>フォルダ内に以下のファイルを作成します。
- %Start Menu%\Programs\Startup\{random file name}.exe
(註: %Start Menu%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu "、Windows 2000、XP、Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\<ユーザ名>\Start Menu " です。)
他のシステム変更
マルウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
Type = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
Start = "3"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
DisplayName = "Micorsoft Windows Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service\Security
"Security" =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
DeleteFlag = "1"
その他
マルウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。
- http://bing.com
- http://google.com
- http://yahoo.com
マルウェアは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}.{BLOCKED}.12.103
- {BLOCKED}.{BLOCKED}.210.173
- {BLOCKED}.{BLOCKED}.62.76
- {BLOCKED}xefolgkokdqy.com
- {BLOCKED}urhtchwlhwklf.com
- {BLOCKED}xjibyd.com
- {BLOCKED}kkbwhfdiufhaj.com
- {BLOCKED}kvn.com
- {BLOCKED}lgcwgaafbtqkt.com
- {BLOCKED}lov.com
- {BLOCKED}ingy.com
- {BLOCKED}axvmhsxtk.com
- {BLOCKED}gdbdkd.com
マルウェアは、以下のサービスを追加し、実行します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
ImagePath = "\??\%User Temp%\{random}.sys"