WORM_PROLACO.XWQ
Windows 2000, XP, Server 2003
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
ワームは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。 ワームは、他のマルウェアに作成され、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。 ワームは、Microsoft Outlook のVBA機能を用いて、自身のコピーを添付したEメールを送信します。
ワームは、ランダムにポートを開き、不正リモートユーザが感染コンピュータに接続できるようにします。接続されると、不正リモートユーザは、感染コンピュータ上でのコマンド実行が可能となります。
ワームは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。
ワームは、作成されたファイルを実行します。
ワームは、自身のSMTPエンジンを用いて特定のメールアドレスに収集した情報を送信します。
詳細
侵入方法
ワームは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。
ワームは、他のマルウェアに作成され、コンピュータに侵入します。
ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
インストール
ワームは、以下のファイルを作成します。
- %system%\foxit.exe - detected as TROJ_HILOTI.XWG
ワームは、以下のコンポーネントファイルを作成します。
- %WINDOWS%\statcvs.exe - also detected as WORM_PROLACO.XWQ
- %application data%\statcvs.exe - also detected as WORM_PROLACO.XWQ
- %system%\NvTaskbarInh.exe - - copy of itself
- %system%\statcvs.exe - also detected as WORM_PROLACO.XWQ
ワームは、以下のプロセスにコードを組み込みます。
- explorer.exe
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
IDT PC Audio = %WINDOWS%\statcvs.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Nvidia Control Center3 = %system%\NvTaskbarInh.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
IDT PC Audio = %WINDOWS%\statcvs.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{N5DKJK5H-5XG7-8421-4V52-B1QQ0LF833CU}
StubPath = %WINDOWS%\statcvs.exe""
他のシステム変更
ワームは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CURRENT_USER
@ = H1UYEEMA[QRs}`{avx'ktn
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
DeleteFlag = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
DeleteFlag = 1
ワームは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Epoch
Epoch = 24
(註:変更前の上記レジストリ値は、「21」となります。)
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cookies = C:\Documents and Settings\NetworkService\Cookies
(註:変更前の上記レジストリ値は、「C:\Documents and Settings\LocalService\Cookies」となります。)
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cache = C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
(註:変更前の上記レジストリ値は、「C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files」となります。)
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
History = C:\Documents and Settings\NetworkService\Local Settings\History
(註:変更前の上記レジストリ値は、「C:\WINDOWS\system32\config\systemprofile\Local Settings\History」となります。)
ワームは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components
{N5DKJK5H-5XG7-8421-4V52-B1QQ0LF833CU} =
ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%system%\\NvTaskbarInh.exe = %system%\NvTaskbarInh.exe:*:Enabled:Explorer
感染活動
ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- RECYCLER\{SID}
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- redmond.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[AutoRun]
open=RECYCLER\{SID}\redmond.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\{SID}\redmond.exe
shell\open\default=1
ワームは、以下の拡張子を持つファイルからEメールアドレスを収集します。
- txt
- htm
- xml
- php
- asp
- dbx
- log
- nfo
- lst
- rtf
- xml
- wpd
- wps
- xls
- doc
- wab
ワームは、Microsoft Outlook のVBA機能を用いて、自身のコピーを添付したEメールを送信します。
ワームは、以下の文字列を含むEメールアドレスにはメッセージを送信しません。
- .mil
- abuse
- acd-group
- acdnet.com
- acdsystems.com
- acketst
- admin
- ahnlab
- alcatel-lucent.com
- anyone
- apache
- arin.
- avg-comsysinternals
- avira
- badware
- berkeley
- bitdefender
- bluewin.ch
- borlan
- bpsoft.com
- bsd
- bugs
- buyrar.com
- ca
- certific
- cisco
- clamav
- contact
- debian
- drweb
- eset.com
- example
- f-secure
- fido
- firefox
- fsf.
- ghisler.com
- gimp
- gnu
- gold-certs, gov.
- help
- honeynet
- honeypot
- iana
- ibm.com
- icrosoft
- idefense
- ietf
- ikarus
- immunityinc.com
- info
- inpris
- isc.o
- isi.e
- jgsoft
- kaspersky
- kernel
- lavasoft
- linux
- listserv
- mcafee
- messagelabs
- mit.e
- mozilla
- mydomai
- nobody
- nodomai
- noone
- nothing
- novirusthanks
- ntivi
- nullsoft.org
- page
- panda
- postmaster
- prevx
- privacy
- qualys
- quebecor.com
- rating
- redhat
- rfc-ed
- root
- rusils
- sales
- samba
- samples
- secur
- security
- sendmail
- service
- site
- slashdot
- soft
- somebody
- somoeone
- sopho
- sourceforge
- spam
- spm
- ssh.com
- submit
- sun.com
- support
- suse
- syman
- tanford.e
- the.bat
- unix
- usenet
- utgers.ed
- virus
- virusbuster
- webmaster
- websense
- winamp
- wincap
- wireshark
- www.ca.com
バックドア活動
ワームは、ランダムにポートを開き、不正リモートユーザが感染コンピュータ上にアクセスするのを可能にします。接続されると、不正リモートユーザは、感染コンピュータ上でコマンドを実行します。
ルートキット機能
ワームは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。
プロセスの終了
ワームは、感染コンピュータ上で確認した以下のサービスを終了します。
- APVXDWIN
- AVG8_TRAY
- AVP
- AVP
- AntiVirSchedulerService
- Arrakis3
- BDAgent
- CAVRID
- CSIScanner
- CaCCProvSP
- DrWebScheduler
- ERSvc
- Ehttpsrv
- Emproxy
- FPAVServer
- GWMSRV
- ISTray
- K7EmlPxy
- K7RTScan
- K7SystemTray
- K7TSMngr
- K7TSStart
- LIVESRV
- MBAMService
- MCNASVC
- MPFSERVICE
- MPS9
- McENUI
- MskAgentexe
- PAVFNSVR
- PAVPRSRV
- PAVSVR
- PSHOST
- PSIMSVC
- PSKSVCRETAIL
- RSCCenter
- RSRavMon
- RavTask
- SAVScan
- SBAMTray
- SCANINICIO
- SUM
- Savadminsrvice
- Savservice
- SpIDerMail
- SpamBlocker
- TPSRV
- ThreatFire
- VSSERV
- WerSvc
- WinDefend
- XCOMM
- antivirservice
- avast!
- avg8emc
- avg8wd
- bdss
- ccEvtMgr
- ccproxy
- ccpwdsvc
- ccsetmgr
- cctray
- egui
- ekrn
- liveupdate
- mcODS
- mcmisupdmgr
- mcmscsvc
- mcpromgr
- mcproxy
- mcredirector
- mcshield
- mcsysmon
- msk80service
- navapsvc
- npfmntor
- nscservice
- sbamsvc
- sbamui
- scan
- sdauxservice
- sdcodeservice
- sndsrvc
- spbbcsvc
- wscsvc
- OfficeScanNT Monitor
- Spam Blocker for Outlook Express
- F-PROT Antivirus Tray application
- Windows Defender
- aswupdsv
- avast! Antivirus
- avast! Mail Scanner
- avast! Web Scanner
- McAfee HackerWatch Service
- Norton AntiVirus
- LiveUpdate Notice Service
- Symantec Core LC
- Sophos Autoupdate Service
- Sophos Agent
- Sophos Certification Manager
- Sophos Management Service
- Sophos Message Router
- PANDA SOFTWARE CONTROLLER
ワームは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- ALSvc.exe
- APvxdwin.exe
- AVENGINE.exe
- AlMon.exe
- CCenter.exe
- FPAVServer.exe
- FPWin.exe
- FprotTray.exe
- HWAPI.exe
- K7EmlPxy.exe
- K7RTScan.exe
- K7SysTry.exe
- K7TSMngr.exe
- K7TSecurity.exe
- McNASvc.exe
- McProxy.exe
- Mcshield.exe
- MpfSrv.exe
- NTRtScan.exe
- PAVSRV51.exe
- PSCtrlS.exe
- PShost.exe
- PavFnSvr.exe
- PavPrSrv.exe
- Pavbckpt.exe
- PsIMSVC.exe
- Rav.exe
- RavMon.exe
- RavStub.exe
- RavTask.exe
- RavmonD.exe
- RedirSvc.exe
- SavAdminService.exe
- SavMain.exe
- SavService.exe
- SbeConsole.exe
- SrvLoad.exe
- TPSRV.exe
- TmListen.exe
- Webproxy.exe
- ashdisp.exe
- ashserv.exe
- avcenter.exe
- avciman.exe
- avgcsrvx.exe
- avgemc.exe
- avgnt.exe
- avgrsx.exe
- avgtray.exe
- avguard.exe
- avgui.exe
- avgwdsvc.exe
- avp.exe
- avp.exe
- bdagent.exe
- bdss.exe
- ccsvchst.exe
- drweb32w.exe
- drwebupw.exe
- egui.exe
- ekrn.exe
- emproxy.exe
- guardgui.exe
- iface.exe
- isafe.exe
- livesrv.exe
- mbam.exe
- mcagent.exe
- mcmscsvc.exe
- mcods.exe
- mcpromgr.exe
- mcsysmon.exe
- mcvsshld.exe
- mps.exe
- mskagent.exe
- msksrver.exe
- pccnt.exe
- prevx.exe
- psksvc.exe
- sbamtray.exe
- sbamui.exe
- seccenter.exe
- spidergui.exe
- vetmsg.exe
- vsserv.exe
- xcommsvr.exe
作成活動
ワームは、作成されたファイルを実行します。
情報収集
ワームは、自身のSMTPエンジンを用いて特定のメールアドレスに収集した情報を送信します。
その他
このワームのコードから、ワームは、以下の機能を備えています。
- Creates the following registry to disable Windows User Account Controls notification:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- EnableLUA = 0
- Modifies the following registry to disable System Restore:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
- DisableSR = 1
- Default value is 0.
- Modifies the following registry to Windows Error Reporting Service:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
- Start = 4
- Default value is 2.
- Modifies the following registry to Windows Security Center:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
- Start = 4
- Default value is 2.
- Searches for MSI files in network drives and repackages the said files with a copy of itself. It does this by utilizing Windows Iexpress Wizard. The repackaged file when run, extracts and executes the original MSI file and the copy of this worm.
- Checks the location of the Windows Address Book by querying the following registry key:
- HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name
ワームは、以下のWebサイトにアクセスして不正なファイルをダウンロードします。
- http:\\www.{BLOCKED}n.com
- hxxp:\ww{BLOCKED}vine.net
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
この「WORM_PROLACO.XWQ」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。
- TROJ_HILOTI.XWG
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %System%\NvTaskbarInh.exe = %System%\NvTaskbarInh.exe:*:Enabled:Explorer
- %System%\NvTaskbarInh.exe = %System%\NvTaskbarInh.exe:*:Enabled:Explorer
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- IDT PC Audio = %WINDOWS%\statcvs.exe
- IDT PC Audio = %WINDOWS%\statcvs.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Nvidia Control Center3 = %system%\NvTaskbarInh.exe
- Nvidia Control Center3 = %system%\NvTaskbarInh.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- IDT PC Audio = %WINDOWS%\statcvs.exe
- IDT PC Audio = %WINDOWS%\statcvs.exe
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
- DeleteFlag= 1
- DeleteFlag= 1
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
- DeleteFlag = 1
- DeleteFlag = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- EnableLUA = 0
- EnableLUA = 0
手順 5
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software
- Nvideo3
- Nvideo3
- In HKEY_LOCAL_MACHINE\SOFTWARE
- Nvideo3
- Nvideo3
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
- {N5DKJK5H-5XG7-8421-4V52-B1QQ0LF833CU}
- {N5DKJK5H-5XG7-8421-4V52-B1QQ0LF833CU}
手順 6
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
- From: DisableSR = 1
To: DisableSR = 0.
- From: DisableSR = 1
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
- From: Start = 4
To: Start = 2
- From: Start = 4
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
- From: Start = 4
To: Start = Default value is 2.
- From: Start = 4
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch
- From: Epoch = 24
To: Epoch = 21
- From: Epoch = 24
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- From: Cookies = C:\Documents and Settings\NetworkService\Cookies
To: Cookies = C:\Documents and Settings\LocalService\Cookies
- From: Cookies = C:\Documents and Settings\NetworkService\Cookies
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- From: Cache = C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
To: Cache = C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files
- From: Cache = C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- From: History = C:\Documents and Settings\NetworkService\Local Settings\History
To: History = C:\WINDOWS\system32\config\systemprofile\Local Settings\History
- From: History = C:\Documents and Settings\NetworkService\Local Settings\History
手順 7
「WORM_PROLACO.XWQ」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。
open=RECYCLER\{SID}\redmond.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\{SID}\redmond.exe
shell\open\default=1
手順 8
以下のフォルダを検索し削除します。
手順 9
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「WORM_PROLACO.XWQ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください