WORM_DOWNAD.EZ
Worm:Win32/Conficker.B(Microsoft), Net-Worm.Win32.Kido.ih(Kaspersky), Worm/Downadup(AVG), Win32/Conficker.AA worm(NOD32), W32.Downadup.B(Norton), W32/Conficker.A!worm(Fortinet)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、ネットワークドライブ内に自身のコピーを作成します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。 ワームは、ソフトウェアに存在する脆弱性を利用して、同じネットワーク上にある他のコンピュータへの感染活動をします。
ワームは、バックドア活動の機能を備えていません。
ワームは、情報収集する機能を備えていません。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のコンポーネントファイルを作成します。
- %System%\{random number}.tmp - detected as TROJ_DOWNAD.E
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\{random file name}.dll
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Global\{random characters based on the computer name}-7
- {random characters}
ワームは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。
- svchost.exe
- services.exe
- explorer.exe
自動実行方法
ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
DisplayName = "Image Support"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
Type = "32"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
ImagePath = "%System Root%\system32\svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}\Parameters
ServiceDll = "%System%\{random file name}.dll"
ワームは、作成されたコンポーネントをシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
DisplayName = "{random characters 2}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
Type = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
Start = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
ImagePath = "\??\%System%\{random number}.tmp"
他のシステム変更
ワームは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 1}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters 2}
ワームは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Applets
(Default) = "1"
ワームは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
{random port number}:TCP = "{random port number}:TCP:*:Enabled:{random value}"
感染活動
ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- {removable drive letter}:\RECYCLER
- {removable drive letter}:\RECYCLER\{SID}
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {removable drive letter}:\RECYCLER\{SID}\{random characters}
ワームは、ネットワークドライブ内に自身のコピーを作成します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
;{garbage characters}
[AUTorUN
;{garbage characters}
AcTION=Open folder to view files
;{garbage characters}
icon=%syStEmrOot%\sySTEM32\sHELL32.Dll ,4
;{garbage characters}
shelLExECUte=RuNdLl32.EXE .\RECYCLER\{SID}\jwgkvsq.vmx,ahaezedrn
;{garbage characters}
ワームは、以下のユーザ名およびパスワードを用いて、パスワード保護された共有フォルダにアクセスします。
- 00
- 000
- 0000
- 00000
- 0000000
- 00000000
- 0987654321
- 1
- 11
- 111
- 1111
- 11111
- 111111
- 1111111
- 11111111
- 12
- 123
- 123123
- 12321
- 123321
- 1234
- 12345
- 123456
- 1234567
- 12345678
- 123456789
- 1234567890
- 1234abcd
- 1234qwer
- 123abc
- 123asd
- 123qwe
- 1q2w3e
- 2
- 21
- 22
- 222
- 2222
- 22222
- 222222
- 2222222
- 22222222
- 3
- 321
- 33
- 333
- 3333
- 33333
- 333333
- 3333333
- 33333333
- 4
- 4321
- 44
- 444
- 4444
- 44444
- 444444
- 4444444
- 44444444
- 5
- 54321
- 55
- 555
- 5555
- 55555
- 555555
- 5555555
- 55555555
- 6
- 654321
- 66
- 666
- 6666
- 66666
- 666666
- 6666666
- 66666666
- 7
- 7654321
- 77
- 777
- 7777
- 77777
- 777777
- 7777777
- 77777777
- 8
- 87654321
- 88
- 888
- 8888
- 88888
- 888888
- 8888888
- 88888888
- 9
- 987654321
- 99
- 999
- 9999
- 99999
- 999999
- 9999999
- 99999999
- Admin
- Internet
- Login
- Password
- a1b2c3
- aaa
- aaaa
- aaaaa
- abc123
- academia
- access
- account
- admin
- admin1
- admin12
- admin123
- adminadmin
- administrator
- anything
- asddsa
- asdfgh
- asdsa
- asdzxc
- backup
- boss123
- business
- campus
- changeme
- cluster
- codename
- codeword
- coffee
- computer
- controller
- cookie
- customer
- database
- default
- desktop
- domain
- example
- exchange
- explorer
- file
- files
- foo
- foobar
- foofoo
- forever
- freedom
- fuck
- games
- home
- home123
- ihavenopass
- internet
- intranet
- job
- killer
- letitbe
- letmein
- login
- lotus
- love123
- manager
- market
- money
- monitor
- mypass
- mypassword
- mypc123
- nimda
- nobody
- nopass
- nopassword
- nothing
- office
- oracle
- owner
- pass
- pass1
- pass12
- pass123
- passwd
- password
- password1
- password12
- password123
- private
- public
- pw123
- q1w2e3
- qazwsx
- qazwsxedc
- qqq
- qqqq
- qqqqq
- qwe123
- qweasd
- qweasdzxc
- qweewq
- qwerty
- qwewq
- root
- root123
- rootroot
- sample
- secret
- secure
- security
- server
- shadow
- share
- sql
- student
- super
- superuser
- supervisor
- system
- temp
- temp123
- temporary
- temptemp
- test
- test123
- testtest
- unknown
- web
- windows
- work
- work123
- xxx
- xxxx
- xxxxx
- zxccxz
- zxcvb
- zxcvbn
- zxcxz
- zzz
- zzzz
- zzzzz
ワームは、以下のソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。
バックドア活動
ワームは、バックドア活動の機能を備えていません。
情報漏えい
ワームは、情報収集する機能を備えていません。
その他
ワームは、以下のWebサイトにアクセスしてインターネット接続を確認します。
- http://www.myspace.com
- http://www.msn.com
- http://www.ebay.com
- http://www.cnn.com
- http://www.aol.com
ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- http://www.whatsmyipaddress.com
- http://www.whatismyip.org
- http://www.getmyip.org
- http://checkip.dyndns.org
ワームは、以下のタイムサーバにアクセスし、現在の日付を確認します。
- http://www.w3.org
- http://www.ask.com
- http://www.yahoo.com
- http://www.google.com
- http://www.baidu.com
ワームは、作成する以下のコンポーネントファイルは、「TROJ_DOWNAD.E」として検出されます。
- %System%\{random number}.tmp
作成されたファイル"AUTORUN.INF"は、「TROJ_DOWNAD.INF」として検出されます。
ワームは、コマンドラインに文字列 "RUNDLL32.EXE" が含まれるか確認します。確認されると、ワームは、スケジュール化されたタスクとして実行されていると認識します。
ワームは、自身をの正規のプロセスである"SVCHOST.EXE"および"EXPLORER.EXE"に組み込みます。
ワームは、感染したコンピュータのOSバージョンを確認します。Windows 2000 の場合、ワームは、自身を "SERVICES.EXE" に組み込みます。
感染したコンピュータのOSバージョンが以下のいずれかの場合、ワームは、自身を "SVCHOST.EXE" に組み込みます。
- Windows Server 2003
- Windows Server 2003 R2
- Windows XP
コンピュータがWindows Vista環境にある場合、ワームは、以下のコマンドを実行し自動チューニング機能を無効にします。
- netsh interface tcp set global autotuning=disabled
ワームはまた、自身をプロセス "SVCHOST.EXE" に組み込み、 "NetpwPathCanonicalize" をフックして感染したコンピュータが再度感染することを避けます。
ワームは、マイクロソフト社のOSの脆弱性を利用し、感染活動を行います。この脆弱性により、感染したコンピュータが不正なRPCリクエストを着信すると、リモートコードが実行されます。不正なRPCリクエストは、シェルコードも含みます。この脆弱性の詳細は、以下のWebサイトをご参照ください。
この不正なRPCリクエストが、脆弱性を含んだコンピュータ内で受信されると、まずシェルコードが解読されます。そして特定のAPIを取得します。このAPIは、感染したコンピュータからワームのコピーをダウンロードする機能を備えています。むろんこの時点で感染したコンピュータは、HTTPサーバに変換されています。そして、感染したコンピュータは、ランダムなTCPポートを開きます。これにより、脆弱性を含んだコンピュータは、自身を以下のURLに接続させることが可能になります。
- http://{IP address of the affected machine}:{random port generated by this worm}/{malware file name composed of random characters}
ワームは、エクスプロイトコードをランダムなインターネットアドレスに送信することにより、インターネットを介しても感染活動を行います。ワームは、まずHTTPサーバとなるランダムなポートを開き、インターネット上に発信します。これにより、インターネットを介しての自由なアクセスが可能になります。ワームは、コンピュータの外部IPアドレスを取得し、そのコンピュータがインターネットへ直に接続しているかを確認します。直のアクセスが確立すると、ワームは、インターネットを介してエクスプロイトコードを発信します。イーサネットかモデムドライバの外部IPアドレスおよび環境設定IPアドレスを確認することによりこれを行います。
ワームは、コンピュータへのアクセスに成功すると、ランダムな名称のファイルを用い、感染コンピュータのユーザの認証情報を利用して"Admin$\System32"フォルダ 内に自身のコピーを作成します。
ネットワーク上での感染活動に成功すると、 "NetScheduleJobAdd" APIを用いてフォルダ "%Windows%\Tasks" 内にスケジュール化されたタスクが作成され、作成された自身のコピーが実行されます。
作成されたジョブファイル内のスケジュール化された実行時間は、 "GetLocalTime" APIから取得されます。
ワームは、文字列を生成および以下の拡張子を付加することにより、現在の日付に基づいたURLを作成します
- .biz
- .info
- .org
- .net
- .com
- .ws
- .cn
- .cc
ワームは、UTC (協定世界時)に基づき、250のランダムなWebサイトを含むURLのリストを毎日作成します。
ワームは、生成されたURLのいずれかがアクティブな状態にあるか確認します。ワームは、スレッドを作成し、ファイルをダウンロードして実行します。これにより、ホスト名がIPアドレスに変換され、以下のようなURLを完成します。
- http://{IP address}/search?q={value}
"NETAPI32.DLL" の "NetpwPathCanonicalize_hook" は、RPCのトラフィックで生成したURLを確認する機能を備えています。ワームは、URLがアクティブな場合、Webサイトに組み込まれたファイルをダウンロードします。
ワームは、以下のAPIをフックします。この結果、インターネットに接続されると、ウイルス対策に関連するWebサイトのリストがフィルタリングされます。
- DnsQuery_A
- DnsQuery_UTF8
- Query_Main
ワームは、以下の文字列を含むセキュリティ対策関連Webサイトを、ユーザが閲覧できないようにします。
- Ccert
- sans
- bit9
- vet
- avg
- avp
- nai
- windowsupdate
- wilderssecurity
- threatexpert
- castlecops
- spamhaus
- cpsecure
- arcabit
- emsisoft
- sunbelt
- securecomputing
- rising
- prevx
- pctools
- norman
- k7computing
- ikarus
- hauri
- hacksoft
- gdata
- fortinet
- ewido
- clamav
- comodo
- quickheal
- avira
- avast
- esafe
- ahnlab
- centralcommand
- drweb
- grisoft
- eset
- nod32
- f-prot
- jotti
- kaspersky
- f-secure
- computerassociates
- networkassociates
- etrust
- panda
- sophos
- trendmicro
- mcafee
- norton
- symantec
- microsoft
- defender
- rootkit
- malware
- spyware
- virus
実行されると、ワームは、マルウェアのパスのルートドライブ下のファイルを表示するウィンドウを開き、ユーザから自身の不正活動を隠ぺいします。
ワームは、実行後、自身のファイル属性を読み取り専用、非表示およびシステムに変更します。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「WORM_DOWNAD.EZ」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
「WORM_DOWNAD.EZ」 が作成またはダウンロードした不正なファイルを削除します。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)
手順 5
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- {random characters 1}
- {random characters 1}
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- {random characters 2}
- {random characters 2}
手順 6
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Applets
- (Default) = "1"
- (Default) = "1"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
- {random port number}:TCP = "{random port number}:TCP:*:Enabled:{random value}"
- {random port number}:TCP = "{random port number}:TCP:*:Enabled:{random value}"
手順 7
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: Hidden = "2"
To: Hidden = 1
- From: Hidden = "2"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: SuperHidden = "0"
To: SuperHidden = 1
- From: SuperHidden = "0"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
- From: CheckedValue = "0"
To: CheckedValue = 1
- From: CheckedValue = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
- From: Start = "4"
To: Start = 2
- From: Start = "4"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
- From: Start = "4"
To: Start = 2
- From: Start = "4"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
- From: Start = "4"
To: Start = 2
- From: Start = "4"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
- From: Start = "4"
To: Start = 2
- From: Start = "4"
手順 8
以下のフォルダを検索し削除します。
- {removable drive letter}:\RECYCLER
手順 9
「WORM_DOWNAD.EZ」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。
- ;{garbage characters}
- [AUTorUN
- ;{garbage characters}
- AcTION=Open folder to view files
- ;{garbage characters}
- icon=%syStEmrOot%\sySTEM32\sHELL32.Dll ,4
- ;{garbage characters}
- shelLExECUte=RuNdLl32.EXE .\RECYCLER\{SID}\jwgkvsq.vmx,ahaezedrn
- ;{garbage characters}
手順 10
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_DOWNAD.EZ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 11
以下の修正パッチをダウンロードし適用します。この脆弱性に対する修正パッチを適用するまで、該当製品の使用をお控えください。この製品の製造元が公開する正式な修正パッチをダウンロードし適用することをお勧めします。
註:
日本のお客様は、以下のツールをご利用ください。
ご利用はいかがでしたか? アンケートにご協力ください