WORM_LUDER.USR

トレンドマイクロは、このワームをNoteworthy（要注意）に分類しました。

ワームは、2013年5月に発生した、ブラジルの銀行「Banco de Brasil」の顧客を対象とした攻撃に関連していました。ワームは、カスタマイズされたバンキング用ブラウザのプラグインと共にコンピュータに侵入しました。ワームは、実行されると、感染コンピュータから銀行取引に関連する情報を集取します。このワームに感染したコンピュータのユーザは、利用するオンライン銀行のアカウントがセキュリティの侵害を受ける可能性があります。

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %System%\install\server.exe

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

ワームは、以下のコンポーネントファイルを作成します。

• %Application Data%\logs.dat
• %User Temp%\XX--XX--XX.TXT
• %User Temp%\UuU.uUu
• %User Temp%\XxX.xXx

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ワームは、以下のフォルダを作成します。

• %System%\install

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• _x_X_UPDATE_X_x_
• _x_X_PASSWORDLIST_X_x_
• _x_X_BLOCKMOUSE_X_x_
• ***MUTEX***
• ***MUTEX***_PERSIST

ワームは、以下のプロセスにコードを組み込み、システムのプロセスに常駐します。

• explorer.exe
• iexplore.exe

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
Policies = "%System%\install\server.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
Policies = "%System%\install\server.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
HKLM = "%System%\install\server.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
HKCU = "%System%\install\server.exe"

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\vítima

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{08B0E5JF-4FCB-11CF-AAA5-00401C6XX500}

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\vítima
FirstExecution = "{current date and time with this format: dd/mm/yyy -- hh:mm}"

HKEY_CURRENT_USER\Software\vítima
NewIdentification = "vítima"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{08B0E5JF-4FCB-11CF-AAA5-00401C6XX500}
StubPath = "%System%\install\server.exe"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

• {removable drive letter}:\RECYCLER
• {removable drive letter}:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• {removable drive letter}:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
;open=RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe
icon=shell32.dll,4
shellexecute=RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe
label=PENDRIVE
action=Open folder to view files
shell\Open=Open
shell\Open\command=RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe
shell\Open\Default=1

情報漏えい

ワームは、以下の情報を収集します。

• sensitive information such as account names, email addresses and passwords by monitoring web activities and logging keystrokes

情報収集

ワームは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• {BLOCKED}-200-41.{BLOCKED}ol.com.br

その他

Web上での活動およびキー入力操作情報の監視によりワームが収集する情報は、以下のとおりです。

• アカウント名、Eメールアドレスおよびパスワードといった個人情報