JS_NELOWEG.DD
Trojan-Banker.Win32.Neloweg.a (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows 7
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは、オンライン取引で交わされる情報を収集することを目的とする「バックドア」に分類されるマルウェアです。監視対象となるURLのリストは、サイバー犯罪者によって更新されます。また、マルウェアは、Windows Vista およひ Windows 7上で自身を実行する機能も備えています。
マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
侵入方法
マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。
- BKDR_NELOWEG.DD
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- !storage! – retrieves the stored passwords of the browser where this malware is running, and sends it to the C&C server
- !block! – set the registry entry HKEY_CURRENT_USER\UDP !block!
- !screen! – set the registry entry HKEY_CURRENT_USER\UDP !screen!
- !filter! – set the registry entry HKEY_CURRENT_USER\UDP !filter!
- !alt! – set the registry entry HKEY_CURRENT_USER\UDP !alt! which would contain the alternate C&C servers
- !tickit! – set the registry entry HKEY_CURRENT_USER\UDP !tickit!
- !content! – create the registry key HKEY_CURRENT_USER\UDP\c and set registry entries in it
- !reder! – create the registry key HKEY_CURRENT_USER\UDP\r and set registry entries in it
- !cmd! – download a file and execute it
- !kill! – delete the files C:\boot.ini, %System%\dllcache\userinit.exe and %System%\userinit.exe, and forcefully restarts the PC
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
その他
マルウェアが実行するコマンドは以下のとおりです。
- !storage!
マルウェアを実行しているブラウザに保存されたパスワードを読み出し、コマンド&コントロール(C&C)サーバへ送信 - !block!
レジストリ値「HKEY_CURRENT_USER\UDP !block!」の設定 - !screen!
レジストリ値「HKEY_CURRENT_USER\UDP !screen!」の設定 - !filter!
レジストリ値「HKEY_CURRENT_USER\UDP !filter!」の設定 - !alt!
レジストリ値「HKEY_CURRENT_USER\UDP !alt!」の設定(レジストリ値は代替のC&CサーバのURLの情報を含む) - !tickit!
レジストリ値「HKEY_CURRENT_USER\UDP !tickit!」の設定 - !content!
レジストリキー「HKEY_CURRENT_USER\UDP\c」の作成およびレジストリ値の設定 - !reder!
レジストリキー「HKEY_CURRENT_USER\UDP\r」の作成およびレジストリ値の設定 - !cmd!
ファイルのダウンロードと実行 - !kill!
ファイル "C:\boot.ini" 、"%System%\dllcache\userinit.exe" および "%System%\userinit.exe" の削除、およびコンピュータの強制再起動
マルウェアは、以下のレジストリ値からコマンド&コントロール(C&C)サーバのURLを取得します。
HKEY_CURRENT_USER\UDP
g = "{obfuscated C&C server URL}"
HKEY_CURRENT_USER\UDP
!alt! = "{obfuscated alternate C&C server URLs}"
ブラウザがWebサイトを読み込む際、マルウェアは、そのURLが以下のレジストリキーで定義されているかを確認します。
HKEY_CURRENT_USER\UDP\c
マルウェアは、読み込み中のWebページにJavaScriptのコードを持つHTMLファイルを組み込みます。マルウェアは、URLが以下のレジストリ値で定義されているかを確認します。
HKEY_CURRENT_USER\UDP
!block! = "{list of URLs to block}"
URLが上述の「!block!」で確認された場合は、そのURLへのアクセスは回避され、ユーザは、以下のレジストリ値で定義された他のURLに誘導されます。
HKEY_CURRENT_USER\UDP
!reder! = "{list of URLs to redirect to}"
「Submitイベント」や「Clickイベント」、「KeyPressイベント」をフックします。Webページ内の入力フォームに入力されたデータが転送されると、入力されたすべてのデータと共に、入力データの送信先URLのアドレスをC&Cサーバへ送信します。フォーム内のボタンまたはリンクがクリックされると、リンク先URLのアドレスをC&Cサーバへ送信します。「KeyPressイベント」が確認され、押されたキーが「Enter」キーであるとき、(「Enter」キーがフォームに入力されたデータの転送に使われている場合)入力されたすべてのデータと共に、入力データの送信先URLのアドレスをC&Cサーバへ送信します。
このマルウェアは、「Mozilla Firefox」で実行されます。
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
起動中ブラウザのウインドウを全て閉じてください。
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「JS_NELOWEG.DD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください
