Trend Micro Security

WORM_RETADUP.A

2017年6月29日
 解析者: Ryan Paolo Maglaque   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

2017年6月にイスラエルの病院への攻撃が確認された「RETADUP(レタダップ)」は、ワーム活動で拡散し、バックドア活動によって情報を窃取するマルウェアです。このマルウェアはそのステルス性でも注目に値します。マルウェアは、サンドボックスや仮想マシンだけでなく、ウイルス対策製品、スクリプトのファイル名、解析、フォレンジック、デバッグツールを検出した後、自身を終了します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

ワームは、システム情報を収集します。 ワームは、感染コンピュータから特定の情報を収集します。 ワームは、ユーザのキー入力操作情報を記録し、情報を収集します。

  詳細

ファイルサイズ 799,980 bytes
タイプ AU3
メモリ常駐 なし
発見日 2017年6月27日
ペイロード 情報収集, ファイルの作成, ファイルのダウンロード, システム情報の収集, キー入力操作情報の記録

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のコンポーネントファイルを作成します。

  • C:\WinddowsUpdateCheck\WinddowsUpdater.zip

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • C:\WinddowsUpdateCheck\WinddowsUpdater.exe

ワームは、以下のフォルダを作成します。

  • C:\WinddowsUpdateCheck

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
WinddowsUpdater = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
WinddowsUpdate = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
WinddowsUpdater = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
WinddowsUpdate = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip"

ワームは、Windows起動時に自動実行されるよう<Common Startup>フォルダ内に以下のファイルを作成します。

  • %User Startup%\WinddowsUpdater.lnk

(註:%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows XPの場合、通常 "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)

他のシステム変更

ワームは、以下のファイルを削除します。

  • %User Startup%\AntiWormUpdate.lnk
  • %User Startup%\AntiUsbWormUpdate.lnk

(註:%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows XPの場合、通常 "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

バックドア活動

ワームは、不正リモートユーザからの以下のコマンドを実行します。

  • Download files
  • Connect to URLs
  • Open a cmd to execute commands
  • Install a keylogger
  • Take a screenshot
  • Extract password from browsers(Firefox, Opera, Chrome)
  • Process start, terminate, restart

ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • http://{BLOCKED}stineop.com/myblog/user
  • {BLOCKED}othere.publicvm.com
  • {BLOCKED}016.linkpc.net
  • {BLOCKED}016.publicvm.com
  • {BLOCKED}al.publicvm.com
  • {time-based hash}.linkpc.net
  • {time-based hash}.ddns.net
  • {time-based hash}.no-ip.info
  • {time-based hash}.no-ip.biz
  • {time-based hash}.zapto.org
  • {time-based hash}.publicvm.com

作成活動

ワームは、以下のファイルを作成します。このファイルは、キー入力操作情報を収集するために利用されます。

  • C:\WinddowsUpdateCheck\__.BIN

情報漏えい

ワームは、システム情報を収集します。

ワームは、感染コンピュータから以下の情報を収集します。

  • Information from browser (Chrome, Opera, Firefox)
  • OS Version
  • OS Architecture
  • OS Service Pack
  • Computer name
  • Username
  • Country Code
  • Installed Antivirus product

ワームは、ユーザのキー入力操作情報を記録し、情報を収集します。

<補足>

情報漏えい

ワームは、システム情報を収集します。

ワームは、感染コンピュータから以下の情報を収集します。

  • Webブラウザからの情報 (Chrome, Opera, Firefox)
  • OSのバージョン
  • OSアーキテクチャ
  • OSのサービスパック
  • コンピュータ名
  • ユーザ名
  • 国コード
  • インストールされたウイルス対策製品

ワームは、ユーザのキー入力操作情報を記録し、情報を収集します。

解析対策手法

ワームは、ウイルス対策製品と解析ツールの存在を確認します。

  • avp.exe
  • zonealarm.exe
  • avguard.exe
  • tcpview.exe
  • procmon.exe
  • nod32kui.exe
  • kavmm.exe
  • procmon.exe
  • fsbwsys.exe
  • vmacthlp.exe
  • avp.exe
  • Kavsvc.exe
  • snxhk.dll
  • tracer.dll
  • SbieDll.dll
  • api_log.dll
  • dir_watch.dll
  • dbghelp.dll
  • monitornet.dll
  • cuckoo
  • SandCastle
  • sandbox
  • tracer.dll
  • tracer.dll

ワームは、サンドボックスに関連する以下のプロセスが存在するかを確認します。

  • BehaviorDumper.exe
  • FakeHTTPServer.exe
  • FakeServer.exe
  • FortiTracer.exe
  • SbieSvc.exe
  • VBoxService.exe
  • VBoxTray.exe
  • VMwareService.exe
  • VMwareUser.exe
  • guninraik.exe
  • vmtoolsd.exe

以下の文字列が含まれる場合はスクリプトのファイル名を確認します。文字列の長さが35を超えることはありません。

  • "artifact"
  • "sample"
  • "."

実行されているフォルダを確認します。

  • "C:\virus"
  • "C:\"

以下のフォルダが存在するかを確認します。

  • "C:\CWSandbox\"
  • "C:\Python26\"
  • "C:\cuckoo\"

仮想マシンを確認します。

  • "Bochs"
  • "VirtualBox"
  • "innotek"
  • "VMware"

上記のいずれかが確認されると、スクリプトは続行されません。

感染活動

ワームは、すべてのドライブに自身のコピーを作成します。

  • {ドライブ}\WinddowsUpdateCheck\WinddowsUpdater.exe
  • {ドライブ}\WinddowsUpdateCheck\WinddowsUpdater.zip

ワームは、すべてのリムーバブルドライブに以下のショートカットファイルを作成します。

  • {ドライブ}\My Pictures.lnk
  • {ドライブ}\My Videos.lnk
  • {ドライブ}\My Downloads.lnk

ワームは、リムーバブルドライブ上の既存のフォルダ内に自身のコピーを作成します。

  • {ドライブ}\{フォルダ名}\Games.lnk
  • {ドライブ}\{フォルダ名}\Downloads.lnk
  • {ドライブ}\{フォルダ名}\{フォルダ名}.lnk

バックドア活動

ワームは、以下のコマンドを実行する機能を備えています。

  • download_file ← ファイルのダウンロードと実行
  • download_a3x ← autoitスクリプトのダウンロードと実行
  • msgbox ← メッセージボックスを表示
  • url ← URLを訪問
  • cmd ← コマンドシェルの実行
  • GoTorat ← RATのコマンドを実行

バックドアコマンドに "GoTorat"が含まれる場合、以下のコマンドを実行します。

  • FILE_MANAGER_DOWNLOAD
  • SCREEN_SHUT_INIT
  • SCREEN_SHUT_STOP
  • KEYLOGGER_INIT
  • KEYLOGGER_STOP
  • PASSWORD_INIT
  • PASSWORD_STOP
  • FILE_MANAGER_ROOT
  • FILE_MANAGER_STOP
  • SCREEN_THUMB
  • MISC_INIT
  • MISC_STOP
  • RUN_SIMPLE_DISK
  • RUN_SIMPLE_URL
  • RUN_SCRIPT_DISK
  • RUN_SCRIPT_URL

バックドアコマンドに "radbot"が含まれる場合、以下のコマンドを実行します。

  • GETINFO
  • SLEEP
  • EXIT
  • RECONNECT
  • MSGBOX
  • URL
  • CMD
  • UPDATEE
  • DOWNLOAD
  • SHUTDOWN
  • RESTART
  • LOGOFF
  • STANDBY

ワームは、以下のファイルが存在するかを確認します。

  • C:\WinddowsUpdateCheck\ebay.lnk
  • C:\WinddowsUpdateCheck\hamazon.lnk
  • C:\WinddowsUpdateCheck\hebay.lnk
  • C:\WinddowsUpdateCheck\hmoneygram.lnk
  • C:\WinddowsUpdateCheck\hpaypal.lnk
  • C:\WinddowsUpdateCheck\hpayza.lnk
  • C:\WinddowsUpdateCheck\hskrill.lnk
  • C:\WinddowsUpdateCheck\hukash.lnk
  • C:\WinddowsUpdateCheck\hwestern union.lnk
  • C:\WinddowsUpdateCheck\moneygram.lnk
  • C:\WinddowsUpdateCheck\paypal.lnk
  • C:\WinddowsUpdateCheck\skrill.lnk
  • C:\WinddowsUpdateCheck\ukash.lnk
  • C:\WinddowsUpdateCheck\western union.lnk

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 13.500.09
初回 VSAPI パターンリリース日 2017年6月28日
VSAPI OPR パターンバージョン 13.501.00
VSAPI OPR パターンリリース日 2017年6月29日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

「WORM_RETADUP.A」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • WinddowsUpdater = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • WinddowsUpdate = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip"
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • WinddowsUpdater = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip"
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • WinddowsUpdate = "C:\WinddowsUpdater\WinddowsUpdater.exe C:\WinddowsUpdater\WinddowsUpdater.zip"

手順 5

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
C:\WinddowsUpdateCheck\
{drive}\WinddowsUpdateCheck\

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
{Drive}\My Pictures.lnk
{Drive}\My Videos.lnk
{Drive}\My Downloads.lnk
{Drive}\{folder name}\Games.lnk
{Drive}\{folder name}\Downloads.lnk
{Drive}\{folder name}\{folder name}.lnk
%User Startup%\WinddowsUpdater.lnk
C:\WinddowsUpdateCheck\__.BIN

手順 7

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_RETADUP.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 8

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

%User Startup%\AntiWormUpdate.lnk
%User Startup%\AntiUsbWormUpdate.lnk


ご利用はいかがでしたか? アンケートにご協力ください