Trend Micro Security

WORM_KELIHOS.SWT

2013年11月8日
 解析者: Jimelle Monteser   
 別名:

Backdoor:Win32/Kelihos.F(Microsoft), a variant of Win32/Kryptik.BMBA trojan (NOD32)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 838,144 bytes
タイプ EXE
メモリ常駐 はい
発見日 2013年11月1日

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random parameter 1}{random parameter 2} = "{malware path and file name}"

他のシステム変更

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
DefaultCompressedRecord = "{random value}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
RecordModifiedMax = "{random value}=="

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
FlagsModifiedValid = "0"

HKEY_CURRENT_USER\Software\TansuTCP
ActiveModifiedTheme = "{random value}"

HKEY_CURRENT_USER\Software\TansuTCP
SizeCompletedValid = "{random value}=="

HKEY_CURRENT_USER\Software\TansuTCP
InfoPlayedCurrent = "0"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {Drive Letter}:\{random file name}.exe

作成活動

ワームは、以下のファイルを作成します。

  • {Drive Letter}:\{folder name}.lnk - if folder exists in removable drive
  • {Drive Letter}:\Shortcut to {random file name}.lnk

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • {random IP addresses}

ワームは、実行後、自身のファイル属性を「読み取り専用」および「隠しファイル」に変更します。

ワームの自動実行に関連するレジストリ「{random parameter 1}」には、以下のいずれかが該当します。
  • Network
  • Time
  • CrashReport
  • Database
  • Icon
  • Desktop
  • Tray
  • Video
  • Media

ワームの自動実行に関連するレジストリ「{random parameter 2}」には、以下のいずれかが該当します。

  • Checker
  • Informer
  • Notifyer
  • Saver
  • Updater
  • Verifyer

ワームは、リムーバブルドライブに作成されるコピー "{random file name}" には、以下のいずれかが該当します。

  • click
  • game
  • hentai
  • installer
  • password
  • porn
  • run
  • sas
  • screensaver

ワームは、リムーバブルドライブ内の自身のコピーに誘導するショートカットファイル(拡張子LNK)も作成します。なお、作成したショートカットファイル名には、リムーバブルドライブ内に存在するフォルダ名を使用します。

そしてワームは、名称を借用した実際のフォルダの方は、属性を「隠しファイル」に設定し、作成したショートカットファイルをクリックさせようとします。

また、このLNKファイルのプロパティのリンク先は、以下の形式を含んでいます。

  • C:\WINDOWS\system32\cmd.exe F/c start %cd%\{random file name}.exe %windir%\explorer %cd%\{target folder}

    • ワームは、以下のURLパスをもつランダムに生成したIPアドレスにアクセスします。

    • /install.htm
    • /welcome.htm
    • /index.htm
    • /start.htm

      対応方法

    対応検索エンジン: 9.300
    初回 VSAPI パターンバージョン 10.396.05
    初回 VSAPI パターンリリース日 2013年11月7日
    VSAPI OPR パターンバージョン 10.397.00
    VSAPI OPR パターンリリース日 2013年11月8日

    トレンドマイクロのお客様:

      最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

    インターネットをご利用の皆様:

    • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
    • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


    ご利用はいかがでしたか? アンケートにご協力ください