Worm.WSF.DUNIHI.NLJ
Worm:VBS/Jenxcus!rfn (MICROSOFT)
Windows
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のファイルを作成します。
- %User Profile%\{Malware Filename} - if %User Profile% exists
- %Temp%\{Malware Filename} - if %User Profile% does not exist
(註:%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>" です。. %Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
If %User Profile% exists:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Malware Name} = wscript.exe //B "%User Profile%\{Malware Filename}"
If %User Profile% does not exist:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Malware Name} = wscript.exe //B "%Temp%\{Malware Filename}"
If %User Profile% exists:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Malware Name} = wscript.exe //B "%User Profile%\{Malware Filename}"
If %User Profile% does not exist:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Malware Name} = wscript.exe //B "%Temp%\{Malware Filename}"
ワームは、Windows起動時に自動実行されるよう<User Startup>フォルダ内に以下のファイルを作成します。
- %User Startup%\{Malware Filename}
(註:%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows 2003(32-bit)、XP、2000(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。Windows Vista、7、8、 8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)
他のシステム変更
ワームは、以下のレジストリ値を追加します。
If it is executed in the root of a drive:
HKEY_LOCAL_MACHINE\SOFTWARE\{Malware Name}
(Default) = true - {Current Date in MM/DD/YYYY format}
If it is not executed in the root of a drive:
HKEY_LOCAL_MACHINE\SOFTWARE\{Malware Name}
(Default) = false - {Current Date in MM/DD/YYYY format}
感染活動
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {Removable Drive Letter}\{Malware Filename} → sets attribute to Hidden and System
マルウェアは、感染コンピュータ上にフォルダやファイルに偽装したショートカットファイル(拡張子「LNK」)を作成して自身のコピーへ誘導します。
バックドア活動
ワームは、不正リモートユーザからの以下のコマンドを実行します。
- excecute<|>{Command} → it executes an expression or code.
- update<|>{Codes} → it updates the existing {Malware Path}\{Malware Filename} by writing updated codes to it.
- It restarts the updated malware by running the following process:
- wscript.exe //B {Malware Path}\{Malware Filename}
- It restarts the updated malware by running the following process:
- uninstall → it does the following:
- It deletes created autostart registry entries.
- It deletes %User Startup%\{Malware Filename}.
- It deletes {Malware Path}\{Malware Filename}.
- It deletes all shortcut files in active removable drives.
- It deletes dropped {Malware Filename} in active removable drives.
- It sets the attributes of original files and folders in active removable drives to normal.
- It terminates itself afterwards.
- send<|>{File URL}<|>{Directory} → it does the following:
- It connects to the following URL through HTTP POST to download a file from the {File URL}:
- http://{BLOCKED}ns.net:13/is-sending<|>{File URL}
- It saves the downloaded file as:
- {Directory}\{Filename from File URL}
- If {Directory} is not specified, it saves the downloaded file as:
- %User Profile%\{Filename from File URL}
- It executes the downloaded file afterwards.
- It connects to the following URL through HTTP POST to download a file from the {File URL}:
- site-send<|>{File URL}<|>{Filename} → it does the following:
- It connects to the {File URL} through HTTP GET to download a file.
- It saves the downloaded file as:
- %User Profile%\{Filename}
- It executes the downloaded file afterwards.
- recv<|>{File Path}\{Filename} → it does the following:
- It connects to the following URL through HTTP POST to upload a file's content specified in {File Path}\{Filename}:
- http://{BLOCKED}ns.net:13/is-recving<|>{File Path}\{Filename}
- It connects to the following URL through HTTP POST to upload a file's content specified in {File Path}\{Filename}:
- enum-driver → it does the following:
- It connects to the following URL and sends the following information through HTTP POST:
- http://{BLOCKED}ns.net:13/is-enum-driver
- Active drives and their types.
- It sets the User-Agent header in the HTTP request using the following system information:
- {Volume Serial Number}<|>{Computer Name}<|>{Username}<|>{OS Caption}<|>plus<|>{Antivirus Product Name} | nan-av<|>true | false - {Current Date}
- It connects to the following URL and sends the following information through HTTP POST:
- enum-faf<|>{Directory} → it does the following:
- It connects to the following URL and sends the following information through HTTP POST:
- http://{BLOCKED}ns.net:13/is-enum-faf
- List of files, folders, and subfolders, and their attributes in {Directory}
- It sets the User-Agent header in the HTTP request using the following system information:
- {Volume Serial Number}<|>{Computer Name}<|>{Username}<|>{OS Caption}<|>plus<|>{Antivirus Product Name} | nan-av<|>true | false - {Current Date}
- It connects to the following URL and sends the following information through HTTP POST:
- enum-process → it does the following:
- It connects to the following URL and sends the following information through HTTP POST:
- http://{BLOCKED}ns.net:13/is-enum-process
- List of running processes including process name, PID, and executable path.
- It sets the User-Agent header in the HTTP request using the following system information:
- {Volume Serial Number}<|>{Computer Name}<|>{Username}<|>{OS Caption}<|>plus<|>{Antivirus Product Name} | nan-av<|>true | false - {Current Date}
- It connects to the following URL and sends the following information through HTTP POST:
- cmd-shell<|>{Command} → it does the following:
- It connects to the following URL and sends the following information through HTTP POST:
- http://{BLOCKED}ns.net:13/is-cmd-shell
- Output of the executed command including error output.
- It sets the User-Agent header in the HTTP request using the following system information:
- {Volume Serial Number}<|>{Computer Name}<|>{Username}<|>{OS Caption}<|>plus<|>{Antivirus Product Name} | nan-av<|>true | false - {Current Date}
- It executes the following command:
- %comspec% /c {Command}
- It connects to the following URL and sends the following information through HTTP POST:
- delete<|>{File Path}\{Filename} | {Directory} → it deletes the specified file or folder.
- exit-process<|>{PID} → it terminates a process specified by its PID.
- sleep<|>{Value} → it sets the duration of sleep using a specified value in milliseconds.
ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- http://{BLOCKED}ns.net:13/is-ready
その他
ワームは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Malware Name}
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Malware Name}
HKEY_LOCAL_MACHINE\SOFTWARE
{Malware Name}
ワームは、以下を実行します。
- It creates shortcuts of all files, folders, and subfolders in active removable drives using the same file name, folder name, and icon.
- It sets the attributes of all files, folders, and subfolders, excluding shortcut files to Hidden and System in active removable drives.
- The created shortcut files contain the following command line in their target:
- For files:
- %System%\cmd.exe /c start {Malware Filename}&start {Original Filename}&exit → opens both the copied malware and the original file.
- For folders and subfolders:
- %System%\cmd.exe /c start {Malware Filename}&start explorer {Original Folder Name}&exit → opens both the copied malware and the original folder.
- For files:
- It loops its routine indefinitely ensuring it affects all current and newly inserted removable drives.
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
<補足>
インストール
ワームは、以下のファイルを作成します。
- %User Profile%\{マルウェアのファイル名} - 「%User Profile%」が存在する場合
- %Temp%\{マルウェアのファイル名} - 「%User Profile%」が存在しない場合
感染活動
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {リムーバブルドライブのドライブ文字}\{マルウェアのファイル名} → 属性を隠しファイル属性およびシステムファイル属性に設定する
バックドア活動
ワームは、不正リモートユーザからの以下のコマンドを実行します。
- excecute<|>{コマンド} → 式またはコードを実行する
- update<|>{コード} → 更新されたコードを書き込むことで、既存のファイル「{マルウェアパス}\{マルウェアのファイル名}」を更新する
- 以下のプロセスを実行して、更新されたマルウェアを再起動します。
- wscript.exe //B {マルウェアパス}\{マルウェアのファイル名}
- 以下のプロセスを実行して、更新されたマルウェアを再起動します。
- uninstall → 以下を実行します。
- 作成された自動実行用レジストリ値を削除する
- 「%User Startup%\{マルウェアのファイル名}」を削除する
- 「{マルウェアパス}\{マルウェアのファイル名}」を削除する
- アクティブなリムーバブルドライブ内に作成されたショートカットファイルを削除する
- アクティブなリムーバブルドライブ内に作成された「{マルウェアのファイル名}」を削除する
- アクティブなリムーバブルドライブ内の元のファイル/フォルダの属性をNormalに設定する
- その後、自身の不正活動を終了する
- send<|>{ファイルのURL}<|>{ディレクトリ} → 以下を実行します。
- HTTP POSTを介して以下のURLに接続し、{ファイルのURL}からファイルをダウンロードします。
- http://{BLOCKED}ns.net:13/is-sending<|>{ファイルのURL}
- ダウンロードされたファイルを以下として保存します。
- {ディレクトリ}\{ファイルのURLから取得したファイルの名前}
- 上記{ディレクトリ}が指定されていない場合、ダウンロードされたファイルを以下として保存します。
- %User Profile%\{ファイルのURLから取得したファイルの名前}
- その後、ダウンロードされたファイルを実行します。
- HTTP POSTを介して以下のURLに接続し、{ファイルのURL}からファイルをダウンロードします。
- site-send<|>{ファイルのURL}<|>{ファイル名} → 以下を実行します。
- HTTP GETを介して{ファイルのURL}に接続し、ファイルをダウンロードします。
- ダウンロードされたファイルを以下として保存します。
- %User Profile%\{ファイル名}
- その後、ダウンロードされたファイルを実行します。
- recv<|>{ファイルパス}\{ファイル名} → 以下を実行します。
- HTTP POSTを介して以下のURLに接続し、{ファイルパス}\{ファイル名}で指定されたファイルのコンテンツをアップロードします。
- http://{BLOCKED}ns.net:13/is-recving<|>{ファイルパス}\{ファイル名}
- HTTP POSTを介して以下のURLに接続し、{ファイルパス}\{ファイル名}で指定されたファイルのコンテンツをアップロードします。
- enum-driver → 以下を実行します。
- 以下のURLに接続して、HTTP POSTを介して下記の情報を送信します。
- http://{BLOCKED}ns.net:13/is-enum-driver
- アクティブなドライバおよびその種類
- 以下のシステム情報を使用して、HTTPリクエスト内のUser-Agentヘッダを設定します。
- {ボリュームシリアル番号}<|>{コンピュータ名}<|>{ユーザ名}<|>{Caption(OSのバージョン)}<|>plus<|>{ウイルス対策製品の名前} | nan-av<|>true | false - {現在の日付}
- 以下のURLに接続して、HTTP POSTを介して下記の情報を送信します。
- enum-faf<|>{ディレクトリ} → 以下を実行します。
- 以下のURLに接続して、HTTP POSTを介して下記の情報を送信します。
- http://{BLOCKED}ns.net:13/is-enum-faf
- {ディレクトリ}内のファイル、フォルダ、サブフォルダ、およびそれらの属性の一覧
- 以下のシステム情報を使用して、HTTPリクエスト内のUser-Agentヘッダを設定します。
- {ボリュームシリアル番号}<|>{コンピュータ名}<|>{ユーザ名}<|>{Caption(OSのバージョン)}<|>plus<|>{ウイルス対策製品の名前} | nan-av<|>true | false - {現在の日付}
- 以下のURLに接続して、HTTP POSTを介して下記の情報を送信します。
- enum-process → 以下を実行します。
- 以下のURLに接続して、HTTP POSTを介して下記の情報を送信します。
- http://{BLOCKED}ns.net:13/is-enum-process
- プロセス名、プロセスID(PID)、実行ファイルのパスを含む実行中のプロセスの一覧
- 以下のシステム情報を使用して、HTTPリクエスト内のUser-Agentヘッダを設定します。
- {ボリュームシリアル番号}<|>{コンピュータ名}<|>{ユーザ名}<|>{OS Caption}<|>plus<|>{ウイルス対策製品の名前} | nan-av<|>true | false - {現在の日付}
- 以下のURLに接続して、HTTP POSTを介して下記の情報を送信します。
- cmd-shell<|>{コマンド} → 以下を実行します。
- 以下のURLに接続して、HTTP POSTを介して下記の情報を送信します。
- http://{BLOCKED}ns.net:13/is-cmd-shell
- エラー出力を含む実行されたコマンドの出力情報
- 以下のシステム情報を使用して、HTTPリクエスト内のUser-Agentヘッダを設定します。
- {ボリュームシリアル番号}<|>{コンピュータ名}<|>{ユーザ名}<|>{OS Caption}<|>plus<|>{ウイルス対策製品の名前} | nan-av<|>true | false - {現在の日付}
- 以下のコマンドを実行します。
- %comspec% /c {コマンド}
- 以下のURLに接続して、HTTP POSTを介して下記の情報を送信します。
- delete<|>{ファイルパス}\{ファイル名} | {ディレクトリ} → 指定されたファイルまたはフォルダを削除する
- exit-process<|>{PID} → 自身のプロセスIDで指定されたプロセスを終了する
- sleep<|>{値} → 指定された値(ミリ秒単位)を使用してスリープの期間を設定する
その他
ワームは、以下を実行します。
- 同じファイル名、フォルダ名、アイコンを使用して、アクティブなリムーバブルドライブ内のすべてのファイル、フォルダ、サブフォルダのショートカットを作成します。
- アクティブなリムーバブルドライブ内のショートカットファイルを除くすべてのファイル、フォルダ、サブフォルダの属性を隠しファイル属性およびシステムファイル属性に設定します。
- 作成されたショートカットファイルは、以下の各対象へのコマンドラインを含んでいます。
- ファイルに対して:
- %System%\cmd.exe /c start {マルウェアのファイル名}&start {元のファイル名}&exit → 自身のコピーおよび元のファイルの両方を開く
- フォルダおよびサブフォルダに対して:
- %System%\cmd.exe /c start {マルウェアのファイル名}&start explorer {元のフォルダ名}&exit → 自身のコピーおよび元のフォルダの両方を開く
- ファイルに対して:
- 自身の不正活動を無期限に繰り返し、現在および新たに接続されたすべてのリムーバブルドライブに影響を及ぼします。
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {Malware Name} = wscript.exe //B %User Profile%\{Malware Filename} → if %User Profile% exists
- {Malware Name} = wscript.exe //B %User Profile%\{Malware Filename} → if %User Profile% exists
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {Malware Name} = wscript.exe //B %Temp%\{Malware Filename} → if %User Profile% does not exist
- {Malware Name} = wscript.exe //B %Temp%\{Malware Filename} → if %User Profile% does not exist
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- {Malware Name} = wscript.exe //B %User Profile%\{Malware Filename} → if %User Profile% exists
- {Malware Name} = wscript.exe //B %User Profile%\{Malware Filename} → if %User Profile% exists
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- {Malware Name} = wscript.exe //B %Temp%\{Malware Filename} → if %User Profile% does not exist
- {Malware Name} = wscript.exe //B %Temp%\{Malware Filename} → if %User Profile% does not exist
- In HKEY_LOCAL_MACHINE\SOFTWARE\{Malware Name}
- (Default) = true - {Current Date in MM/DD/YYYY format} → if it is executed in the root of a drive
- (Default) = true - {Current Date in MM/DD/YYYY format} → if it is executed in the root of a drive
- In HKEY_LOCAL_MACHINE\SOFTWARE\{Malware Name}
- (Default) = false - {Current Date in MM/DD/YYYY format} → if it is not executed in the root of a drive
- (Default) = false - {Current Date in MM/DD/YYYY format} → if it is not executed in the root of a drive
手順 5
不明なレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- {Malware Name}
- {Malware Name}
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
- {Malware Name}
- {Malware Name}
- In HKEY_LOCAL_MACHINE\SOFTWARE\
- {Malware Name}
- {Malware Name}
手順 6
- コマンドプロンプトを起動します。
- Windows 2000、XP および Server 2003 の場合:
[スタート]-[ファイル名を指定して実行]を選択し、cmd と入力し、Enter を押します。
- Windows Vista、7、Server 2008 の場合:
[スタート]をクリックし、検索入力欄に cmd と入力し、Enter を押します。 - Windows 8、8.1 および Server 2012 の場合:
[スタート]-[プログラムとファイルの検索]に cmd と入力し、Enter を押します。画面の左下隅を右クリックし、[コマンド プロンプト]を選択します。
※cmd は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
- Windows 2000、XP および Server 2003 の場合:
- コンソールウィンドウに以下を入力します。
- ATTRIB -H D:\* /S /D
- 他のドライブやディレクトリ内のフォルダおよびファイルに対して、手順 3.)を繰り返してください。
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I] [ドライブ:][パス][ファイル名] [/S [/D] [/L]]
各コマンドの意味は以下のとおりです。+:属性の設定
-:属性の解除
R:読み取り専用属性
A:アーカイブ属性
S:システムファイル属性
H:隠しファイル属性
I:非インデックス対象ファイル属性
[drive:][path][filename]
[ドライブ:][パス][ファイル名]:attribで処理するファイルの指定
/S:現在のフォルダとすべてのサブフォルダ内で一致するファイルの処理
/D:フォルダも処理
/L:Symbolic Link(シンボリックリンク)のターゲットに対するシンボリックリンク属性での動作
コマンド例:
Dドライブ内のサブフォルダを含むすべてのフォルダおよびファイルの隠しファイル属性を解除する場合。
手順 7
以下のファイルを検索し削除します。
- %User Startup%\{Malware Filename}
- %User Profile%\{Malware Filename} - if %User Profile% exists
- %Temp%\{Malware Filename} - if %User Profile% exists
- {Removable Drive Letter}\{Malware Filename}
- {Removable Drive Letter}\{Created Shortcut (.lnk) files}
手順 8
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Worm.WSF.DUNIHI.NLJ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください