解析者: Roland Marco Dela Paz   
 別名:

W32.IRCBot, Worm:Win32/Lamin.A

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インスタントメッセンジャ(IM)を介した感染活動

ワームは、特定のレジストリ値を変更し、セキュリティセンター機能を無効にします。これにより、ワームは自身を検出されることなく不正活動を実行することが可能になります。

  詳細

ファイルサイズ 743,425 bytes
タイプ PE
メモリ常駐 はい
発見日 2010年4月24日
ペイロード システムセキュリティへの感染活動, サービスの無効

侵入方法

ワームは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

  • http://bukuger{BLOCKED}.hared.com

インストール

ワームは、以下のコンポーネントファイルを作成します。

  • %Program Files%\Microsoft Office\OFFICE11\control.ini - IRC configuration file
  • %Program Files%\Microsoft Office\OFFICE11\Drvics32.dll - network configuration file
  • %Program Files%\Microsoft Office\OFFICE11\hjwgsd.dll - contains the list of IM messages that it will send
  • %Program Files%\Microsoft Office\OFFICE11\jwiegh.dll - contains the list of MIRC nicknames it will use
  • %Program Files%\Microsoft Office\OFFICE11\PUB60SP.mrc - IRC script component
  • %Program Files%\Microsoft Office\OFFICE11\remote.ini - encrypted file
  • %Program Files%\Microsoft Office\OFFICE11\ruimsbbe.dll - encrypted file
  • %Program Files%\Microsoft Office\OFFICE11\yofc.dll - encrypted file
  • %Program Files%\Microsoft Office\OFFICE11\smss.exe - encrypted file

(註:%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Program Files%\Microsoft Office\OFFICE11\services.exe
  • %Program Files%\Microsoft Office\OFFICE11\WINWORD.EXE
  • %User Startup%\Adobe Gamma Loader.com

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = %Program Files%\Microsoft Office\OFFICE11\WINWORD.EXE

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\exefile
NeverShowExt =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirstRunDisabled = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UacDisableNotify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusDisableNotify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusOverride = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallDisableNotify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallOverride = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirstRunDisabled = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UpdatesDisableNotify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UacDisableNotify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\FWCFG
EnableFileTracing = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\FWCFG
EnableConsoleTracing = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\FWCFG
FileTracingMask = ffff0000

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\FWCFG
ConsoleTracingMask = ffff0000

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\FWCFG
MaxFileSize = 00100000

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\FWCFG
FileDirectory = %windir%\tracing

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinDefend
Start = 4

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinDefend
Type = 4

ワームは、以下のレジストリ値を変更し、セキュリティセンター機能を無効にします。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Type = 4

(註:変更前の上記レジストリ値は、「20」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = 4

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Type = 4

(註:変更前の上記レジストリ値は、「20」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = 4

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Type = 4

(註:変更前の上記レジストリ値は、「20」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = 4

(註:変更前の上記レジストリ値は、「2」となります。)

ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = 0

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

(註:変更前の上記レジストリ値は、「1」となります。)

ワームは、以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot

感染活動

ワームは、以下のインスタントメッセンジャ(IM)を用いて標的とする受信者に自身のコピーを送信します。

  • GoogleTalk
  • Digsby

マルウェアは、以下のレジストリ値を追加し、特定のアプリケーションの実行を防ぎます。

場所:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<アプリケーション名>
値:
Debugger = "cmd.exe /c del"

<アプリケーション名>は以下のいずれかです。

  • Acha.exe
  • AmyMastura.exe
  • BabyRina.exe
  • cscript.exe
  • csrsz.exe
  • lsasc.exe
  • registry.exe
  • SMSSS.exe
  • wscript.exe

ワーム活動(Messengerの利用)

マルウェアは、あらかじめ決められたメッセージを送信します。このメッセージは、"hjwgsd.dll" にリストアップされており、以下のWebサイトへのリンクが含まれています。

  • http://bukuger{BLOCKED}.hared.com

マルウェアのコピーは、上記のWebサイトからダウンロードされます。

ただし、情報公開日現在、上記Webサイトはアクセス不能のようです。

バックドア活動

マルウェアは、予定されたIRCチャンネルに参加する機能を備えています。これにより、ワームは、不正リモートユーザからのコマンドを受信できるようになります。

マルウェアは、以下のサービスを無効にします。

  • Windows ファイアウォール/インターネット接続共有(ICS)
  • 自動更新
  • セキュリティセンター
  • System ファイアウォール

その他

マルウェアは、実行すると、ユーザから自身の不正活動を隠すためにMicrosoft Wordを開きます。

マルウェアは、以下のコマンドを使用して、ネットワークの接続を確認します。

  • ping www.tourism.gov.my -t -l 3000
  • ping www.miti.gov.my -t -l 3000
  • ping www.putera.com -t -l 3000

マルウェアは、上記のレジストリキーを削除し、セーフモードでの起動を無効にします。

マルウェアは、レジストリ値を変更し、システムのセキュリティ設定を低くします。

  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 7.124.01
初回 VSAPI パターンリリース日 2010年4月24日
VSAPI OPR パターンバージョン 7.125.00
VSAPI OPR パターンリリース日 2010年4月24日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「WORM_LAMIN.AC」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

レジストリエディタの機能を修正します。

[ 詳細 ]
この手順により、このマルウェアが無効にした他のアプリケーションまたはプログラムの機能も修復されます。

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    • Shell = %Program Files%\Microsoft Office\OFFICE11\WINWORD.EXE
  • In HKEY_CLASSES_ROOT\exefile
    • NeverShowExt =
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • EnableLUA = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\{Application name}
    • Debugger = cmd.exe /c del

手順 5

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\
    • Svc
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\
    • FWCFG
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    • WinDefend
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
    • Security Center

手順 6

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: SuperHidden = 0
      To: SuperHidden = 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: ShowSuperHidden = 0
      To: ShowSuperHidden = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
    • From: Type = 4
      To: Type = 20
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
    • From: Start = 4
      To: Start = 2
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    • From: Type = 4
      To: Type = 20
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    • From: Start = 4
      To: Start = 2
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
    • From: Type = 4
      To: Type = 20
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
    • From: Start = 4
      To: Start = 2

手順 7

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Program Files%\Microsoft Office\OFFICE11\control.ini
  • %Program Files%\Microsoft Office\OFFICE11\Drvics32.dll
  • %Program Files%\Microsoft Office\OFFICE11\hjwgsd.dll
  • %Program Files%\Microsoft Office\OFFICE11\jwiegh.dll
  • %Program Files%\Microsoft Office\OFFICE11\PUB60SP.mrc
  • %Program Files%\Microsoft Office\OFFICE11\remote.ini
  • %Program Files%\Microsoft Office\OFFICE11\ruimsbbe.dll
  • %Program Files%\Microsoft Office\OFFICE11\yofc.dll
  • %Program Files%\Microsoft Office\OFFICE11\smss.exe

手順 8

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_LAMIN.AC」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください

関連マルウェア