BKDR_LINEAGE.EWD
Backdoor:Win32/Zegost.B (Microsoft); [2.nsis\2.nsis]:Flyagent.a, [3.nsis]:BackDoor-EJJ (McAfee); Trojan Horse (Symantec); ARC:NSIS, PAK:[lanren.exe]:ASPack, ARC:[lanren.exe]:Embedded, [ruirui.exe]:Trojan-GameThief.Win32.Ma (Kaspersky); Trojan.Win32.Autorun.dm (v), Backdoor.Win32.Zegost.B (v) (Sunbelt); Dropped:Trojan.Generic.7001561 (FSecure)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のフォルダを作成します。
- %User Temp%\E_N4
- %Program Files%\gqven
(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %Program Files%は、標準設定では "C:\Program Files" です。)
他のシステム変更
マルウェアは、以下のファイルを削除します。
- %User Temp%\nsv1.tmp
- %Windows%\fonts\msgothic.ttf
- %Windows%\fonts\msuigoth.ttf
- %Windows%\fonts\MSMINCHO.TTF
- %Windows%\fonts\Gulim.ttf
- %Windows%\fonts\Gulimche.ttf
- %Windows%\fonts\Dotum.ttf
- %Windows%\fonts\Batang.ttf
- %Windows%\fonts\Gungsuh.ttf
- %Windows%\fonts\Simsun.ttf
- %Windows%\fonts\nsimsun.ttf
- %Windows%\fonts\MingLiU.ttf
- %Windows%\fonts\pmingliu.ttf
- %System%\SET3.tmp
- %System%\kbd101b.dll
- %System%\SET5.tmp
- %System%\kbd101c.dll
- %System%\SET7.tmp
- %System%\kbd103.dll
- %System%\SET9.tmp
- %System%\kbd106.dll
- %System%\SETB.tmp
- %System%\kbdjpn.dll
- %System%\SETD.tmp
- %System%\kbdkor.dll
- %System%\642d3b30.del
- %Program Files%\gqven\gqven.dll
- %System Root%\ruirui.exe
- %Windows%\SoftwareDistribution\DataStore\Logs\edbtmp.log
(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %Program Files%は、標準設定では "C:\Program Files" です。. %System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
マルウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
HKEY_LOCAL_MACHINE\SOFTWARE\ki6to45
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\MediaResources\msvideo
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
Enable = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
Size = "a"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
InitHits = "64"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
Factor = "14"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International
W2KLpk = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International
W2KLpk = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\6to4
Module = "%System Root%\ruirui.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\6to4\Parameters
ServiceMain = "CAGetDN"
マルウェアは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\6to4
Description = "{random characters}"
(註:変更前の上記レジストリ値は、「Provides DDNS name registration and automatic IPv6 connectivity over an IPv4 network. If this service is stopped, other computers may not be able to reach it by name and the machine will only have IPv6 connectivity if it is connected to a native IPv6 network. If this service is disabled, any other services that explicitly depend on this service will fail to start.」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\6to4\Parameters
ServiceDll = "%Program Files%\gqven\gqven.dll"
(註:変更前の上記レジストリ値は、「{random values}」となります。)
作成活動
マルウェアは、以下のファイルを作成します。
- \lanren.exe
- \ruirui.exe
- %User Temp%\E_N4\krnln.fnr
- %User Temp%\E_N4\iext.fnr
- %User Temp%\E_N4\eNetIntercept.fne
- %User Temp%\E_N4\shell.fne
- %User Temp%\E_N4\eAPI.fne
- %User Temp%\E_N4\internet.fne
- %User Temp%\E_N4\shellEx.fne
- %User Temp%\E_N4\HtmlView.fne
- %User Temp%\E_N4\dp1.fne
- %User Temp%\E_N4\PBShell.fne
- %User Temp%\E_N4\downlib.fne
- %System%\SkinH_EL.dll
- %User Temp%\longhorn.she
- %System%\SET2.tmp
- %System%\SET4.tmp
- %System%\SET6.tmp
- %System%\SET8.tmp
- %System%\SETA.tmp
- %System%\SETC.tmp
- %User Temp%\62875.log
- %System%\SET3.tmp
- %System%\SET5.tmp
- %System%\SET7.tmp
- %System%\SET9.tmp
- %System%\SETB.tmp
- %System%\SETD.tmp
(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://www.{BLOCKED}u.com
- http://www1.{BLOCKED}f.cn/upgrate5.txt
- http://www1.{BLOCKED}f.cn/new.txt
- http://www1.{BLOCKED}f.cn/wlbt.txt
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International
- CpMRU
- In HKEY_LOCAL_MACHINE\SOFTWARE
- ki6to45
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources
- msvideo
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\CpMRU
- Enable = "1"
- In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\CpMRU
- Size = "a"
- In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\CpMRU
- InitHits = "64"
- In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International\CpMRU
- Factor = "14"
- In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International
- W2KLpk = "1"
- In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\International
- W2KLpk = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4
- Module = "%System Root%\ruirui.exe"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4\Parameters
- ServiceMain = "CAGetDN"
手順 4
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4
- From: Description = "{random characters}"
To: Description = ""Provides DDNS name registration and automatic IPv6 connectivity over an IPv4 network. If this service is stopped, other computers may not be able to reach it by name and the machine will only have IPv6 connectivity if it is connected to a native IPv6 network. If this service is disabled, any other services that explicitly depend on this service will fail to start.""
- From: Description = "{random characters}"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4\Parameters
- From: ServiceDll = "%Program Files%\gqven\gqven.dll"
To: ServiceDll = ""{random values}""
- From: ServiceDll = "%Program Files%\gqven\gqven.dll"
手順 5
以下のファイルを検索し削除します。
- \lanren.exe
- \ruirui.exe
- %User Temp%\E_N4\krnln.fnr
- %User Temp%\E_N4\iext.fnr
- %User Temp%\E_N4\eNetIntercept.fne
- %User Temp%\E_N4\shell.fne
- %User Temp%\E_N4\eAPI.fne
- %User Temp%\E_N4\internet.fne
- %User Temp%\E_N4\shellEx.fne
- %User Temp%\E_N4\HtmlView.fne
- %User Temp%\E_N4\dp1.fne
- %User Temp%\E_N4\PBShell.fne
- %User Temp%\E_N4\downlib.fne
- %System%\SkinH_EL.dll
- %User Temp%\longhorn.she
- %System%\SET2.tmp
- %System%\SET4.tmp
- %System%\SET6.tmp
- %System%\SET8.tmp
- %System%\SETA.tmp
- %System%\SETC.tmp
- %User Temp%\62875.log
- %System%\SET3.tmp
- %System%\SET5.tmp
- %System%\SET7.tmp
- %System%\SET9.tmp
- %System%\SETB.tmp
- %System%\SETD.tmp
手順 6
以下のフォルダを検索し削除します。
- %User Temp%\E_N4
- %Program Files%\gqven
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「BKDR_LINEAGE.EWD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 8
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- %User Temp%\nsv1.tmp
- %Windows%\fonts\msgothic.ttf
- %Windows%\fonts\msuigoth.ttf
- %Windows%\fonts\MSMINCHO.TTF
- %Windows%\fonts\Gulim.ttf
- %Windows%\fonts\Gulimche.ttf
- %Windows%\fonts\Dotum.ttf
- %Windows%\fonts\Batang.ttf
- %Windows%\fonts\Gungsuh.ttf
- %Windows%\fonts\Simsun.ttf
- %Windows%\fonts\nsimsun.ttf
- %Windows%\fonts\MingLiU.ttf
- %Windows%\fonts\pmingliu.ttf
- %System%\SET3.tmp
- %System%\kbd101b.dll
- %System%\SET5.tmp
- %System%\kbd101c.dll
- %System%\SET7.tmp
- %System%\kbd103.dll
- %System%\SET9.tmp
- %System%\kbd106.dll
- %System%\SETB.tmp
- %System%\kbdjpn.dll
- %System%\SETD.tmp
- %System%\kbdkor.dll
- %System%\642d3b30.del
- %Program Files%\gqven\gqven.dll
- %System Root%\ruirui.exe
- %Windows%\SoftwareDistribution\DataStore\Logs\edbtmp.log
ご利用はいかがでしたか? アンケートにご協力ください