WORM_TWITBOT.A

トレンドマイクロは、このワームをNoteworthy（要注意）に分類しました。その理由として、ダメージ度や感染力、あるいは、その両方の脅威レベルの高まりが挙げられます。

ワームは、Twitterを利用するボットネット「Mehika」のバイナリとされる検出名です。サイバー犯罪者は、Twitterのアカウントを利用し、このボットネットによってゾンビPC化した感染コンピュータへコマンドを送信します。

ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

ワームは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

ワームは、ユーザのInternet Explorer（IE）のスタートページを特定のWebサイトに変更します。これにより、特定のマルウェアを含むWebサイトが表示され、感染コンピュータは、さらなる脅威にさらされる恐れがあります。 ワームは、ユーザのInternet Explorer（IE）の検索ページを特定のWebサイトに変更します。これにより、特定のマルウェアを含むWebサイトが表示され、感染コンピュータは、さらなる脅威にさらされる恐れがあります。

侵入方法

ワームは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

バックドア活動

ワームは、不正リモートユーザからの以下のコマンドを実行します。

• Adds/Modifies entries to the HOSTS file
• Restarts a host machine
• Replaces HTTPs
• Sends email messages
• Downloads and executes files
• Monitors visited sites
• Logs keystrokes
• Sends messages to MSN containing a link pointing to its copy
• Updates its Twitter RSS feed on the link, http://{BLOCKED}r.com/statuses/user_timeline/118177052.rss with these actions

ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}.{BLOCKED}.133.57/~duskrow/Twitter/

Webブラウザのホームページおよび検索ページの変更

ワームは、ユーザのIEのスタートページを以下のWebサイトに変更します。

• http://www.google.com

ワームは、ユーザのIEの検索ページを以下のWebサイトに変更します。

• http://www.google.com

バックドア活動

ワームは、不正リモートユーザからの以下のコマンドを実行します。

• HOSTSファイルにエントリーを追加/変更
• ホストマシンの再起動
• ユーザが訪問したWebサイトを監視
• ユーザが訪問したHTTPアドレスを置換
• Eメールの送信
• ファイルのダウンロードおよび実行
• キー入力操作情報を記録
• 自身のコピーを実行するためのリンクを含むメッセージをインスタントメッセンジャ「MSNメッセンジャー」へ送信
• 以下のリンクにおいて、実行されたコマンドについてTwitterのRSSフィードを更新
  • http://{BLOCKED}r.com/statuses/user_timeline/118177052.rss

ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}.{BLOCKED}.133.57/~duskrow/Twitter/

その他

このコードを分析した結果、マルウェアは、以下の機能を備えています。

• ワームが、自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。