Trend Micro Security

WORM_DORKBOT

2012年10月9日
 解析者: Karl Dominguez   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 フラッシュドライブを介した感染活動, インスタントメッセンジャ(IM)を介した感染活動

これは、複数の「WORM_DORKBOT」の亜種を解析した結果に基づいた説明です。ファイル名およびレジストリ値といった具体的な情報は、亜種によって異なります。

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 ワームは、他のマルウェアに作成され、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

ワーム マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した ワーム )を削除します。

  詳細

ファイルサイズ 不定
タイプ EXE
メモリ常駐 はい
発見日 2011年3月10日
ペイロード ファイルの作成, URLまたはIPアドレスに接続

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

ワームは、他のマルウェアに作成され、コンピュータに侵入します。

ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "%User Profile%\Application Data\{malware file name}.exe"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • {drive letter}:\RECYCLER

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {drive letter}:\RECYCLER\{random characters}.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[AutoRun]
;{garbage characters}
shellexecute=RECYCLER\{malware file name}.exe
;{garbage characters}
icon=shell32.dll,7
;{garbage characters}
shell\open\command=RECYCLER\{malware file name}.exe
;{garbage characters}
action=Open folder to view files
;{garbage characters}
shell\explore\command=RECYCLER\{malware file name}.exe
;{garbage characters}
useautoplay=1

ワームは、以下のインスタントメッセンジャ(IM)を用いて、メッセージを送信します。このメッセージにはリンクが含まれており、リンク先のリモートサイトには、自身のコピーが組み込まれています。

  • Windows Live Communicator
  • MSN Messenger
  • Pidgin
  • Xchat
  • mIRC

バックドア活動

ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}ebsite.com
  • {BLOCKED}rebitch.com
  • {BLOCKED}ney.biz
  • {BLOCKED}ousez11.com
  • {BLOCKED}g.{BLOCKED}oan.com
  • {BLOCKED}g.{BLOCKED}opperz11.com
  • {BLOCKED}g.{BLOCKED}ousez11.com
  • {BLOCKED}g.{BLOCKED}allone.com
  • {BLOCKED}g.{BLOCKED}ketbaby.com
  • {BLOCKED}s.com
  • {BLOCKED}ussy.info
  • {BLOCKED}ctronix.com
  • {BLOCKED}enial.com
  • {BLOCKED}m.{BLOCKED}ch.ru
  • {BLOCKED}g.{BLOCKED}ousez11.com

ルートキット機能

ワームは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

その他

ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • http://api.wipmania.com/

ワーム は、自身(コンピュータに侵入して最初に自身のコピーを作成した ワーム )を削除します。

ユーザがURLに以下の文字列を含むWebサイトを閲覧した場合、ワームは、感染コンピュータのインターネット活動を監視し、ユーザの個人情報を収集します。

  • *&Password=*
  • *&txtPassword=*
  • *.alertpay.*/*login.aspx
  • *.moneybookers.*/*login.pl
  • *1and1.com/xml/config*
  • *4shared.com/login*
  • *:2083/login*
  • *:2086/login*
  • *alertpay.com/login*
  • *aol.*/*login.psp*
  • *bcointernacional*login*
  • *bigstring.*/*index.php*
  • *depositfiles.*/*/login*
  • *dotster.com/*login*
  • *dyndns*/account*
  • *enom.com/login*
  • *facebook.*/login.php*
  • *fastmail.*/mail/*
  • *fileserv.com/login*
  • *fileserve.*/login*
  • *filesonic.com/*login*
  • *FLN-Password=*
  • *freakshare.com/login*
  • *gmx.*/*FormLogin*
  • *godaddy.com/login*
  • *google.*/*ServiceLoginAuth*
  • *hackforums.*/member.php
  • *hotfile.com/login*
  • *letitbit.net*
  • *login.live.*/*post.srf*
  • *login.yahoo.*/*login*
  • *login_password=*
  • *loginUserPassword=*
  • *mediafire.com/*login*
  • *megaupload.*/*login
  • *megaupload.*/*login*
  • *members*.iknowthatgirl*/members*
  • *members.brazzers.com*
  • *moniker.com/*Login*
  • *namecheap.com/*login*
  • *netflix.com/*ogin*
  • *netload.in/index*
  • *no-ip*/login*
  • *officebanking.cl/*login.asp*
  • *oron.com/login*
  • *pass=*
  • *passwd=*
  • *password=*
  • *password]=*
  • *paypal.*/webscr?cmd=_login-submit*
  • *runescape*/*weblogin*
  • *screenname.aol.*/login.psp*
  • *secure.logmein.*/*logincheck*
  • *sendspace.com/login*
  • *service=youtube*
  • *signin.ebay*SignIn
  • *sms4file.com/*/signin-do*
  • *speedyshare.com/login*
  • *steampowered*/login*
  • *TextfieldPassword=*
  • *thepiratebay.org/login*
  • *torrentleech.org/*login*
  • *twitter.com/sessions
  • *uploaded.to/*login*
  • *uploading.com/*login*
  • *vip-file.com/*/signin-do*
  • *webnames.ru/*user_login*
  • *what.cd/login*
  • *youporn.*/login*
  • Email
  • EmailName
  • FLN-Password
  • FLN-UserName
  • login
  • login_email
  • login_password
  • loginId
  • loginUserName
  • loginUserPassword
  • Passwd
  • Password
  • quick_password
  • quick_username
  • screenname
  • session[password]
  • session[username_or_email]
  • TextfieldEmail
  • TextfieldPassword
  • txtEmail
  • txtPassword
  • username

ワームは、以下のWebサイトで使用されているユーザの個人情報を収集します。

  • AlertPay
  • AOL
  • BigString
  • DynDNS
  • Facebook
  • Fastmail
  • FileServe
  • Gmail
  • GMX
  • Hackforums
  • LogMeIn
  • Megaupload
  • Moneybookers
  • No-IP
  • NoIP
  • OfficeBanking
  • PayPal
  • Runescape
  • Steam
  • Twitter
  • Windows Live
  • Yahoo
  • Yahoo!
  • YouTube

ワームは、以下のバックドア活動を行います。

  • DNSのブロック
  • プロセスの追加
  • 他のファイルのダウンロード
  • HTMLファイルへiframe タグを挿入
  • IRCチャンネルへの接続
  • FTPサイトへのログイン
  • Slowloris攻撃、UDP攻撃およびSYNフラッド攻撃の実行
  • 逆Socks4プロキシサーバの実行
  • インスタントメッセンジャ「MSNメッセンジャー」を用いたメッセージの送信
  • ログイン認証情報の収集
  • 自身の更新
  • Webサイトの閲覧

ワームは、ユーザが以下のアプリケーションを利用することを妨害します。

  • cmd.exe
  • ipconfig.exe
  • regedit.exe
  • regsvr32.exe
  • rundll32.exe
  • verclsid.exe

ワームは、ユーザが以下の文字列をURLに含むWebサイトへアクセスすることを妨害します。

  • avast.
  • avg.
  • avira.
  • bitdefender.
  • bullguard.
  • clamav.
  • comodo.
  • emsisoft.
  • eset.
  • fortinet.
  • f-secure.
  • garyshood.
  • gdatasoftware.
  • heck.tc
  • iseclab.
  • jotti.
  • kaspersky.
  • lavasoft.
  • malwarebytes.
  • mcafee.
  • norman.
  • norton.
  • novirusthanks.
  • onecare.live.
  • onlinemalwarescanner.
  • pandasecurity.
  • precisesecurity.
  • sophos.
  • sunbeltsoftware.
  • symantec
  • threatexpert.
  • trendmicro.
  • virscan.
  • virus.
  • virusbuster.nprotect.
  • viruschief.
  • virustotal.
  • webroot.

ワームは、以下のAPIをフックすることで、自身を隠ぺいし、不正活動を展開し易くします。

  • CopyFileA
  • CopyFileW
  • CreateFileA
  • CreateFileW
  • DeleteFileA
  • DeleteFileW
  • DnsQuery_A
  • DnsQuery_W
  • GetAddrInfoW
  • HttpSendRequestA
  • HttpSendRequestW
  • InternetWriteFile
  • LdrEnumerateLoadedModules
  • LdrGetDllHandle
  • LdrGetProcedureAddress
  • LdrLoadDll
  • MoveFileA
  • MoveFileW
  • NtEnumerateValueKey
  • NtQueryDirectoryFile
  • NtQueryInformationProcess
  • NtQueryInformationThread
  • NtQuerySystemInformation
  • NtQueryVirtualMemory
  • PR_Write
  • RegCreateKeyExA
  • RegCreateKeyExW
  • RtlAnsiStringToUnicodeString
  • URLDownloadToFileA
  • URLDownloadToFileW

ワームは、、リムーバブルドライブ内に自身のコピーに誘導するショートカットファイル(拡張子LNK)を作成します。ワームは、作成したLNKファイルのファイル名に、そのリムーバブルドライブに存在するフォルダ名を利用します。そしてワームは、オリジナルのフォルダの属性を「隠しファイル」に設定し、ユーザがLNKファイルをクリックするように促します。

これは、複数の「WORM_DORKBOT」の亜種を解析した結果に基づいた説明です。ファイル名およびレジストリ値といった具体的な情報は、亜種によって異なります。

  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 7.890.03
初回 VSAPI パターンリリース日 2011年3月10日

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください