WORM_RETADUP.A 2017年6月29日
解析者: Ryan Paolo Maglaque
マルウェアタイプ: ワーム 破壊活動の有無: なし 暗号化: はい 感染報告の有無: はい
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
2017年6月にイスラエルの病院への攻撃が確認された「RETADUP(レタダップ)」は、ワーム活動で拡散し、バックドア活動によって情報を窃取するマルウェアです。このマルウェアはそのステルス性でも注目に値します。マルウェアは、サンドボックスや仮想マシンだけでなく、ウイルス対策製品、スクリプトのファイル名、解析、フォレンジック、デバッグツールを検出した後、自身を終了します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
ワームは、システム情報を収集します。 ワームは、感染コンピュータから特定の情報を収集します。 ワームは、ユーザのキー入力操作情報を記録し、情報を収集します。
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のコンポーネントファイルを作成します。
C:\WinddowsUpdateCheck\WinddowsUpdater.zip ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
C:\WinddowsUpdateCheck\WinddowsUpdater.exe ワームは、以下のフォルダを作成します。
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run WinddowsUpdater = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip"
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run WinddowsUpdate = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip"
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run WinddowsUpdater = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip"
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run WinddowsUpdate = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip"
ワームは、Windows起動時に自動実行されるよう<Common Startup>フォルダ内に以下のファイルを作成します。
%User Startup%\WinddowsUpdater.lnk (註:%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows XPの場合、通常 "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)
他のシステム変更
ワームは、以下のファイルを削除します。
%User Startup%\AntiWormUpdate.lnk %User Startup%\AntiUsbWormUpdate.lnk (註:%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows XPの場合、通常 "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)
ワームは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\ Advanced ShowSuperHidden = 0
バックドア活動
ワームは、不正リモートユーザからの以下のコマンドを実行します。
Download files Connect to URLs Open a cmd to execute commands Install a keylogger Take a screenshot Extract password from browsers(Firefox, Opera, Chrome) Process start, terminate, restart ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
http://{BLOCKED}stineop.com/myblog/user {BLOCKED}othere.publicvm.com {BLOCKED}016.linkpc.net {BLOCKED}016.publicvm.com {BLOCKED}al.publicvm.com {time-based hash}.linkpc.net {time-based hash}.ddns.net {time-based hash}.no-ip.info {time-based hash}.no-ip.biz {time-based hash}.zapto.org {time-based hash}.publicvm.com 作成活動
ワームは、以下のファイルを作成します。このファイルは、キー入力操作情報を収集するために利用されます。
C:\WinddowsUpdateCheck\__.BIN 情報漏えい
ワームは、システム情報を収集します。
ワームは、感染コンピュータから以下の情報を収集します。
Information from browser (Chrome, Opera, Firefox) OS Version OS Architecture OS Service Pack Computer name Username Country Code Installed Antivirus product ワームは、ユーザのキー入力操作情報を記録し、情報を収集します。
<補足>
情報漏えい
ワームは、システム情報を収集します。
ワームは、感染コンピュータから以下の情報を収集します。
Webブラウザからの情報 (Chrome, Opera, Firefox)
OSのバージョン
OSアーキテクチャ
OSのサービスパック
コンピュータ名
ユーザ名
国コード
インストールされたウイルス対策製品
ワームは、ユーザのキー入力操作情報を記録し、情報を収集します。
解析対策手法
ワームは、ウイルス対策製品と解析ツールの存在を確認します。
avp.exe
zonealarm.exe
avguard.exe
tcpview.exe
procmon.exe
nod32kui.exe
kavmm.exe
procmon.exe
fsbwsys.exe
vmacthlp.exe
avp.exe
Kavsvc.exe
snxhk.dll
tracer.dll
SbieDll.dll
api_log.dll
dir_watch.dll
dbghelp.dll
monitornet.dll
cuckoo
SandCastle
sandbox
tracer.dll
tracer.dll
ワームは、サンドボックスに関連する以下のプロセスが存在するかを確認します。
BehaviorDumper.exe
FakeHTTPServer.exe
FakeServer.exe
FortiTracer.exe
SbieSvc.exe
VBoxService.exe
VBoxTray.exe
VMwareService.exe
VMwareUser.exe
guninraik.exe
vmtoolsd.exe
以下の文字列が含まれる場合はスクリプトのファイル名を確認します。文字列の長さが35を超えることはありません。
実行されているフォルダを確認します。
以下のフォルダが存在するかを確認します。
"C:\CWSandbox\"
"C:\Python26\"
"C:\cuckoo\"
仮想マシンを確認します。
"Bochs"
"VirtualBox"
"innotek"
"VMware"
上記のいずれかが確認されると、スクリプトは続行されません。
感染活動
ワームは、すべてのドライブに自身のコピーを作成します。
{ドライブ}\WinddowsUpdateCheck\WinddowsUpdater.exe
{ドライブ}\WinddowsUpdateCheck\WinddowsUpdater.zip
ワームは、すべてのリムーバブルドライブに以下のショートカットファイルを作成します。
{ドライブ}\My Pictures.lnk
{ドライブ}\My Videos.lnk
{ドライブ}\My Downloads.lnk
ワームは、リムーバブルドライブ上の既存のフォルダ内に自身のコピーを作成します。
{ドライブ}\{フォルダ名}\Games.lnk
{ドライブ}\{フォルダ名}\Downloads.lnk
{ドライブ}\{フォルダ名}\{フォルダ名}.lnk
バックドア活動
ワームは、以下のコマンドを実行する機能を備えています。
download_file ← ファイルのダウンロードと実行
download_a3x ← autoitスクリプトのダウンロードと実行
msgbox ← メッセージボックスを表示
url ← URLを訪問
cmd ← コマンドシェルの実行
GoTorat ← RATのコマンドを実行
バックドアコマンドに "GoTorat"が含まれる場合、以下のコマンドを実行します。
FILE_MANAGER_DOWNLOAD
SCREEN_SHUT_INIT
SCREEN_SHUT_STOP
KEYLOGGER_INIT
KEYLOGGER_STOP
PASSWORD_INIT
PASSWORD_STOP
FILE_MANAGER_ROOT
FILE_MANAGER_STOP
SCREEN_THUMB
MISC_INIT
MISC_STOP
RUN_SIMPLE_DISK
RUN_SIMPLE_URL
RUN_SCRIPT_DISK
RUN_SCRIPT_URL
バックドアコマンドに "radbot"が含まれる場合、以下のコマンドを実行します。
GETINFO
SLEEP
EXIT
RECONNECT
MSGBOX
URL
CMD
UPDATEE
DOWNLOAD
SHUTDOWN
RESTART
LOGOFF
STANDBY
ワームは、以下のファイルが存在するかを確認します。
C:\WinddowsUpdateCheck\ebay.lnk
C:\WinddowsUpdateCheck\hamazon.lnk
C:\WinddowsUpdateCheck\hebay.lnk
C:\WinddowsUpdateCheck\hmoneygram.lnk
C:\WinddowsUpdateCheck\hpaypal.lnk
C:\WinddowsUpdateCheck\hpayza.lnk
C:\WinddowsUpdateCheck\hskrill.lnk
C:\WinddowsUpdateCheck\hukash.lnk
C:\WinddowsUpdateCheck\hwestern union.lnk
C:\WinddowsUpdateCheck\moneygram.lnk
C:\WinddowsUpdateCheck\paypal.lnk
C:\WinddowsUpdateCheck\skrill.lnk
C:\WinddowsUpdateCheck\ukash.lnk
C:\WinddowsUpdateCheck\western union.lnk 手順 1
Windows XP、Windows Vista および Windows 7 のユーザは 、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効 にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
「WORM_RETADUP.A」で検出したファイル名を確認し、そのファイルを終了します。
[ 詳細 ]
[ 戻る ]
すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちら をご参照下さい。 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。 セーフモードについては、こちら をご参照下さい。 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。 マルウェアのプロセス終了:
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行し、検出したマルウェアのファイル名を確認し、メモ等をとってください。 タスクマネージャを起動します。 • Windows 2000、XP、Server 2003 、Vista、7 および Server 2008の場合 、CTRL+SHIFT+ESCを押し、[プロセス]タブをクリックします。 • Windows 8、8.1および Server 2012の場合 、 [詳細]タブをクリックします。 実行中のプログラムのリストから、上記で検出したマルウェアのファイルを選択します。 使用しているWindowsのバージョンに応じて、[タスクの終了]、または、[プロセスの終了]をクリックします。 同様の手順で、上記で確認したマルウェアのファイルをすべて終了してください。 マルウェアのプロセスが終了されているかを確認するには、タスクマネージャを閉じ、再度開いてください。 タスクマネージャを閉じてください。 手順 4
このレジストリ値を削除します。
[ 詳細 ]
[ 戻る ]
警告: レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。 レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。 レジストリの編集前にこちら をご参照ください。
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run WinddowsUpdater = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip" In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run WinddowsUpdate = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip" In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run WinddowsUpdater = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip" In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run WinddowsUpdate = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip" このマルウェアが追加したレジストリ値の削除 :
「レジストリエディタ」を起動します。 [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、[OK]をクリックします。 ※regedit は半角英数字で入力する必要があります(大文字/小文字は区別されません)。 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run 右側のパネルで以下のレジストリ値を検索し、削除します。 WinddowsUpdater = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip" 右側のパネルで以下のレジストリ値を検索し、削除します。 WinddowsUpdate = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip" 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。 HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run 右側のパネルで以下のレジストリ値を検索し、削除します。 WinddowsUpdater = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip" 右側のパネルで以下のレジストリ値を検索し、削除します。 WinddowsUpdate = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip" 「レジストリエディタ」を閉じます。 手順 5
以下のフォルダを検索し削除します。
[ 詳細 ]
[ 戻る ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
C:\WinddowsUpdateCheck\
{drive}\WinddowsUpdateCheck\
このマルウェアまたはアドウェア等が作成したフォルダの削除:
Windows 2000、XP および Server 2003 の場合: [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。 [ファイル名のすべてまたは一部]に、以下のフォルダ名を入力してください。 C:\WinddowsUpdateCheck\
{drive}\WinddowsUpdateCheck\
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。 検索が終了したら、フォルダを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。 残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.)から 4.)を繰り返してください。 C:\WinddowsUpdateCheck\
{drive}\WinddowsUpdateCheck\
註: ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。(例:ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索)
Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合: Windowsエクスプローラ画面を開きます。 Windows Vista、7 および Server 2008 の場合: Windows 8、8.1 および Server 2012 の場合:画面の左隅を右クリックし、[エクスプローラー]を選択します。 [コンピューターの検索]に、以下を入力します。 C:\WinddowsUpdateCheck\
{drive}\WinddowsUpdateCheck\
検索が終了したら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。 残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.)から 3.)を繰り返してください。 C:\WinddowsUpdateCheck\
{drive}\WinddowsUpdateCheck\
註: Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイト をご確認ください。 手順 6
以下のファイルを検索し削除します。
[ 詳細 ]
[ 戻る ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
{Drive}\My Pictures.lnk
{Drive}\My Videos.lnk
{Drive}\My Downloads.lnk
{Drive}\{folder name}\Games.lnk
{Drive}\{folder name}\Downloads.lnk
{Drive}\{folder name}\{folder name}.lnk
%User Startup%\WinddowsUpdater.lnk
C:\WinddowsUpdateCheck\__.BIN
マルウェアのコンポーネントファイルの削除:
Windows 2000、XP および Server 2003 の場合: [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。 [ファイル名のすべてまたは一部]に以下のファイル名を入力してください。 {Drive}\My Pictures.lnk
{Drive}\My Videos.lnk
{Drive}\My Downloads.lnk
{Drive}\{folder name}\Games.lnk
{Drive}\{folder name}\Downloads.lnk
{Drive}\{folder name}\{folder name}.lnk
%User Startup%\WinddowsUpdater.lnk
C:\WinddowsUpdateCheck\__.BIN
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。註: ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。(例:ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索)
Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合: Windowsエクスプローラ画面を開きます。 Windows Vista、7 および Server 2008 の場合: Windows 8、8.1 および Server 2012 の場合:画面の左下隅を右クリックし、[エクスプローラー]を選択します。 [コンピューターの検索]に、以下を入力します。 {Drive}\My Pictures.lnk
{Drive}\My Videos.lnk
{Drive}\My Downloads.lnk
{Drive}\{folder name}\Games.lnk
{Drive}\{folder name}\Downloads.lnk
{Drive}\{folder name}\{folder name}.lnk
%User Startup%\WinddowsUpdater.lnk
C:\WinddowsUpdateCheck\__.BIN
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。 註: Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイト をご確認ください。 手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_RETADUP.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 8
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
%User Startup%\AntiWormUpdate.lnk
%User Startup%\AntiUsbWormUpdate.lnk
ご利用はいかがでしたか? アンケートにご協力ください