Worm.Win32.DOWNAD.PIDB

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、特定の脆弱性を利用した感染活動を実行します。

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

• {Drive}\autorun.inf

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• {Drive}\RECYCLER\{Generated string}\{Random characters}.{Random extension}
• \\{Server host name}\ADMIN$\System32\{Random characters}.{Random extension}
• %Application Data%\{Random characters}.dll
• %Program Files%\Internet Explorer\{Random characters}.dll
• %Program Files%\Movie Maker\{Random characters}.dll
• %System%\{Random characters}.dll
• %System%\{Random characters}.tmp
• %Temp%\{Random characters}.dll
• %Temp%\{Random characters}.tmp

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

ワームは、以下のプロセスを追加します。

• netsh interface tcp set global autotuning=disabled (Disables TCP/IP auto-tuning if the sample is running on Windows Vista)

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• {Random characters}
• Global\{Random characters based on computer name}-7

ワームは、以下のプロセスにコードを組み込みます。

• svchost.exe
• explorer.exe
• services.exe (If the sample is running on Windows 2000)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\{Control set}\
services\{Random characters}
DisplayName = {Random string}

HKEY_LOCAL_MACHINE\SYSTEM\{Control set}\
services\{Random characters}
Start = 2

HKEY_LOCAL_MACHINE\SYSTEM\{Control set}\
services\{Random characters}
ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs

HKEY_LOCAL_MACHINE\SYSTEM\{Control set}\
services\{Random characters}\Parameters
ServiceDll = %System%\{Random characters}.dll

HKEY_CURRENT_USERSoftware\Microsoft\Windows\
CurrentVersion\Run
{Random characters} = rundll32.exe {Malware file name and path}, {Parameter}

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Applets
dl = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Applets
ds = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Applets
dl = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Applets
ds = 0

ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = 0

その他

ワームは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\{Control set}\
services\{Random characters}

ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• http://www.getmyip.org
• http://www.whatsmyipaddress.com
• http://www.whatismyip.org
• http://checkip.dyndns.org

ワームは、以下のタイムサーバにアクセスし、現在の日付を確認します。

• ask.com
• yahoo.com
• google.com
• baidu.com
• myspace.com
• msn.com
• ebay.com
• cnn.com
• aol.com

ワームは、以下の脆弱性を利用して感染活動を実行します。

• Microsoft Security Bulletin MS08-067

ワームは、以下を実行します。

• %System%\drivers\tcpip.sysをメモリにロードした後にパッチを適用して、ネットワーク全体により迅速に拡散します。
• 返されたシステム時間に基づいてドメインのセットを生成します。生成されたドメイン間でドメインがアクティブな場合、ファイルをダウンロードするためにhttp://{Address}/search?q={Number} への応答をフォーマットします。
• http://{IP address}:{Random port} の形式でHTTPサーバーを作成し、インターネット上で拡散します。
• すべてのシステムの復元ポイントを削除して、ユーザーが以前のシステムの復元ポイントに戻れないようにします。
• 以下のAPIをフックして、使用されている脆弱性の悪用を回避します。:
  • NetpwPathCanonicalize
• 以下のAPIをフックして、特定のサイトへのユーザアクセスをブロックします。:
  • DNS_Query_A
  • DNS_Query_UTF8
  • DNS_Query_W
  • Query_Main
  • sendto
• 以下のレジストリエントリを変更して、コピーを実行します。:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
  • netsvcs={Old data}, {追加された作成された悪意のあるサービスレジストリエントリ}
• 以下のレジストリエントリを追加して、ネットワーク全体にすばやく分散します。:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  • TcpNumConnections=0x00fffffe
• ブルートフォースで取得した認証情報を用い、以下のコマンドをリモートサーバ上で使用してスケジュールされたタスクを作成し、自身のコピーを実行します。:
  • rundll32.exe {Random characters}.{Random extension}, {Parameter}
• 以下の名前付きパイプを作成して、外部ホストまたはローカルプロセスが接続し、バイナリをアップロードできるようにします。:
  • \\.\pipe\System_{Computer name}7
• 感染システムが以下の文字列を含む特定のサイトにアクセスするのをブロックします。:
  • ccert
  • sans
  • bit9
  • vet
  • avg
  • avp
  • ca
  • nai
  • windowsupdate
  • wilderssecurity
  • threatexpert
  • castlecops
  • spamhaus
  • cpsecure
  • arcabit
  • emsisoft
  • sunbelt
  • securecomputing
  • rising
  • prevx
  • pctools
  • norman
  • k7computing
  • ikarus
  • hauri
  • hacksoft
  • gdata
  • fortinet
  • ewido
  • clamav
  • comodo
  • quickheal
  • avira
  • avast
  • esafe
  • ahnlab
  • centralcommand
  • drweb
  • grisoft
  • eset
  • nod32
  • f-prot
  • jotti
  • kaspersky
  • f-secure
  • computerassociates
  • networkassociates
  • etrust
  • panda
  • sophos
  • trendmicro
  • mcafee
  • norton
  • symantec
  • microsoft
  • defender
  • rootkit
  • malware
  • spyware
  • virus
• 以下の文字列を使用して、サービスレジストリエントリ名を生成します。:
  • Boot
  • Center
  • Config
  • Driver
  • Helper
  • Image
  • Installer
  • Manager
  • Microsoft
  • Monitor
  • Network
  • Security
  • Server
  • Shell
  • Support
  • System
  • Task
  • Time
  • Universal
  • Update
  • Windows