TROJ_RAMNIT.IZ

2012年11月2日

解析者: Nikko Tamana

別名:

Mal/Azber-A (Sophos), W32/Azbreg.BOA!tr (Fortinet), Backdoor.Win32.Azbreg (Ikarus), Trojan:Win32/Ramnit.A (Microsoft), variant of Win32/Ramnit.AE.Gen virus (NOD32)

プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 93,072 bytes

タイプ EXE

発見日 2012年11月2日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

{All Users' Profile}\Application Data\{random 1}.log
%Application Data%\{random 2} .log
%Application Data%\{random 3} .log
%User Temp%\{random}.sys

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%Application Data%\{random folder name}\{random file name}.exe
%User Temp%\{random file name}.exe

マルウェアは、以下のフォルダを作成します。

%Application Data%\{random folder name}

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Application Data%\{random folder name}\{random file name}.exe"

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,,%Application Data\{random folder name}\{random file name}.exe"

(註：変更前の上記レジストリ値は、「"%System%\userinit.exe,"」となります。)

マルウェアは、Windows起動時に自動実行されるよう＜スタートアップ＞フォルダ内に以下のファイルを作成します。

%Start Menu%\Programs\Startup\{random file name}.exe

(註： %Start Menu%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\＜ユーザ名＞\Start Menu "、Windows 2000、XP、Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\＜ユーザ名＞\Start Menu " です。)

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
Type = "1"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
Start = "3"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
DisplayName = "Micorsoft Windows Service"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service\Security
"Security" =

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
DeleteFlag = "1"

その他

マルウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

http://bing.com
http://google.com
http://yahoo.com

マルウェアは、以下の不正なWebサイトにアクセスします。

{BLOCKED}.{BLOCKED}.12.103
{BLOCKED}.{BLOCKED}.210.173
{BLOCKED}.{BLOCKED}.62.76
{BLOCKED}xefolgkokdqy.com
{BLOCKED}urhtchwlhwklf.com
{BLOCKED}xjibyd.com
{BLOCKED}kkbwhfdiufhaj.com
{BLOCKED}kvn.com
{BLOCKED}lgcwgaafbtqkt.com
{BLOCKED}lov.com
{BLOCKED}ingy.com
{BLOCKED}axvmhsxtk.com
{BLOCKED}gdbdkd.com

マルウェアは、以下のサービスを追加し、実行します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Micorsoft Windows Service
ImagePath = "\??\%User Temp%\{random}.sys"