WORM_DORKBOT.DN

トレンドマイクロは、このワームをNoteworthy（要注意）に分類しました。

ワームは、ユーザのオンライン認証やアカウントを侵害する可能性がある情報を収集をします。また、ワームは、Skypeのメッセージを利用して、「身代金要求型マルウェア（ランサムウェア）」や情報収集型マルウェア、自身のコピーの更新版を含むさまざまな脅威を拡散します。これにより、さらなるマルウェアへの感染が、ユーザ自身および他のユーザへもたらされることとなります。

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、すべてのリムーバブルドライブ内に自身のコピーを作成します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。 ワームは、特定のWebサイトにアクセスし、情報を送受信します。

ワームは、ダウンロードしたファイルを実行します。

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Profile%\Application Data\{random}.exe

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。)

ワームは、以下の通常のプロセスにスレッドを組み込みます。

• explorer.exe
• winlogon.exe

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%User Profile%\Application Data\{random}.exe"

感染活動

ワームは、すべてのリムーバブルドライブ内に自身のコピーを作成します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[AutoRun]
;{garbage characters}
shellexecute=RECYCLER\{random characters}.exe
;{garbage characters}
icon=shell32.dll,7
;{garbage characters}
shell\open\command=RECYCLER\{random characters}.exe
;{garbage characters}
action=Open folder to view files
;{garbage characters}
shell\explore\command=RECYCLER\{random characters}.exe
;{garbage characters}
useautoplay=1

バックドア活動

ワームは、不正リモートユーザからの以下のコマンドを実行します。

• Block DNS
• Create processes
• Download other files
• Insert iFrame tags into HTML files
• Join an IRC channel
• Log in to FTP sites
• Perform Slowloris, UDP, and SYN flooding
• Run Reverse Socks4 proxy server
• Send MSN Messenger messages
• Steal login credentials
• Update itself
• Visit a web site

ワームは、以下のWebサイトにアクセスし、情報を送受信します。

• ok77548.com
• ca98741.com
• zuf174.com
• 1k4j25.com

ダウンロード活動

ワームは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

• http://up.arabseyes.com/uploads/28_12_1213566658223.png

ワームは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Profile%\Application Data\{random number}.exe

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。)

トレンドマイクロの製品では、ダウンロードしたファイルを以下として検出します。

• WORM_DORKBOT.IF

ワームは、ダウンロードしたファイルを実行します。

その他

ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• http://api.wipmania.com/

ワームは、ユーザのWebブラウザ上での活動を監視します。ワームは、ユーザがアクセスしたWebサイトが以下の文字列を含んでいた場合、ユーザのログインIDやパスワード、Eメールを収集します。

• *.moneybookers.*/*login.pl
• *1and1.com/xml/config*
• *4shared.com/login*
• *:2082/login*
• *:2083/login*
• *:2086/login*
• *:2222/CMD_LOGIN*
• *FLN-Password=*
• *LoginPassword=*
• *Passwd=*
• *Password=*
• *TextfieldPassword=*
• *alertpay.com/login*
• *aol.*/*login.psp*
• *bcointernacional*login*
• *bebo.*/c/home/ajax_post_lifestream_comment
• *bebo.*/c/profile/comment_post.json
• *bebo.*/mail/MailCompose.jsp*
• *bigstring.*/*index.php*
• *clave=*
• *depositfiles.*/*/login*
• *dotster.com/*login*
• *dyndns*/account*
• *enom.com/login*
• *facebook.*/ajax/*MessageComposerEndpoint.php*
• *facebook.*/ajax/chat/send.php*
• *facebook.*/login.php*
• *fastmail.*/mail/*
• *fileserv.com/login*
• *filesonic.com/*login*
• *freakshare.com/login*
• *friendster.*/rpc.php
• *friendster.*/sendmessage.php*
• *gmx.*/*FormLogin*
• *godaddy.com/login*
• *google.*/*ServiceLoginAuth*
• *hackforums.*/member.php
• *hotfile.com/login*
• *letitbit.net*
• *login.live.*/*post.srf*
• *login.yahoo.*/*login*
• *loginUserPassword=*
• *login_password=*
• *mediafire.com/*login*
• *megaupload.*/*login*
• *members*.iknowthatgirl*/members*
• *members.brazzers.com*
• *moniker.com/*Login*
• *namecheap.com/*login*
• *netflix.com/*ogin*
• *netload.in/index*
• *officebanking.cl/*login.asp*
• *oron.com/login*
• *paypal.*/webscr?cmd=_login-submit*
• *runescape*/*weblogin*
• *screenname.aol.*/login.psp*
• *secure.logmein.*/*logincheck*
• *sendspace.com/login*
• *service=youtube*
• *signin.ebay*SignIn
• *sms4file.com/*/signin-do*
• *speedyshare.com/login*
• *steampowered*/login*
• *thepiratebay.org/login*
• *torrentleech.org/*login*
• *twitter.*/*direct_messages/new*
• *twitter.*/*status*/update*
• *twitter.com/sessions
• *uploaded.to/*login*
• *uploading.com/*login*
• *vip-file.com/*/signin-do*
• *vkontakte.ru/api.php
• *vkontakte.ru/mail.php
• *vkontakte.ru/wall.php
• *webnames.ru/*user_login*
• *what.cd/login*
• *whcms*dologin*
• *youporn.*/login*

ワームは、以下のWebサイトで利用されているユーザ認証情報を収集します。

• 1and1
• 4shared
• AlertPay
• Bco Internacional
• Bebo
• BigString
• Brazzers
• Clave
• DepositFiles
• Dotster
• DynDNS
• eBay
• Email
• FLN-Password
• FLN-UserName
• Facebook
• FastMail
• FileServe
• FileSonic
• FreakShare
• Friendster
• Gmail
• Go Daddy
• Hack Forums
• Hotfile
• IKnowThatGirl
• Letitbit
• LogMeIn
• MediaFire
• Megaupload
• Message
• Moneybookers
• Moniker
• Namecheap
• Netflix
• Netload
• OfficeBanking
• Passwd
• PayPal
• Runescape
• SendSpace
• Sms4file
• SpeedyShare
• Steam
• The Pirate Bay
• TorrentLeech
• Twitter
• Uploaded
• Uploading.com
• Vip-file
• Vkontakte
• Webnames
• Whatcd
• Yahoo
• YouPorn
• YouTube

ワームは、以下のバックドア機能を備えています。

• Domain Name System (DNS)のブロック
• プロセスの作成
• 他のファイルのダウンロード
• "iframe" タグをHTMLファイルに挿入する
• IRCチャンネルへの参加
• FTPサイトへのログイン
• UDPフラッドやSYNフラッド、Slowloris攻撃の実行
• 「Reverse Socks4」プロキシサーバの実行
• インスタントメッセンジャ「MSNメッセンジャー」のメッセージの送信
• ログイン認証情報の収集
• 自身の更新
• Webサイトの閲覧

また、ワームは、ユーザによる以下のアプリケーションの使用を妨害します。

• cmd.exe
• ipconfig.exe
• regedit.exe
• regsvr32.exe
• rundll32.exe
• verclsid.exe

ワームは、リムーバブルドライブ内に存在する自身のコピーに誘導する "RECYCLER" という名前のショートカットファイルを作成します。

ワームは、以下のインスタントメッセンジャ（IM）アプリケーションを利用し、自身のリモートコピーを組み込んだWebサイトへのリンクを含むメッセージを送信します。

• mIRC
• MSN Messenger