製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
Bredolab.gen.c
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5727
対応定義ファイル
(現在必要とされるバージョン)
6338 (現在7515)
対応エンジン5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Panda - Trj/CI.A NOD32 - a variant of Win32/TrojanDownloader.Stohil.J Symantec - WS.Reputation.1 Microsoft - TrojanDownloader:Win32/Chepvil.J
情報掲載日2010/05/17
発見日(米国日付)2009/09/01
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/29RDN/Download...
07/29RDN/Download...
07/29RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7515
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・Bredolab.gen.cは、実行時、他の悪質なファイルをターゲットマシンにダウンロードする可能性があるマルウェアです。

・ファイル名、使用されるポート番号などの特徴は攻撃者の設定によって異なります。よって、ここでは一般的な特徴を説明します。

--2011年3月29日更新---

ファイル情報

  • MD5 - A62378C4ECFDA5FCED6C408333D4DFE5
  • SHA - 13DFE8210FAE24B499B77015B42F02078C860126

ウイルスの特徴TOPに戻る

--2011年3月29日更新---

・実行時、Bredolab.gen.cはリモートポート80を介してlaqod[削除]isegu.comに接続します。

・Bredolab.gen.cは完全に自動でXP Internet Security 2011をインストールし、システムでウイルススキャンを実行します。ウイルスを検出したと偽り、システムからウイルスを駆除するため、製品を登録するよう要求します。

・また、以下のファイルをドロップ(作成)します。

  • %Windir%\system32\mcbfaeae.dll
  • %Windir%\system32\tmp.tmp
  • %Userprofile%\Local Settings\Application Data\dsv.exe
  • %Userprofile%\Local Settings\Application Data\020rl4mpt4y2k1q2e38276nbclg20fs6
  • %Userprofile%\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
  • %Temp%\020rl4mpt4y2k1q2e38276nbclg20fs6
  • %Temp%\6.tmp
  • %Temp%\spm.exe
  • %Temp%\srv2E4.ini
  • %Temp%\srv2E4.tmp
  • %Userprofile%\Local Settings\Temporary Internet Files\Content.IE5\8WEL7ODI\lol2[1].exe
  • %Userprofile%\Local Settings\Temporary Internet Files\Content.IE5\I65VJICG\pod[1].exe
  • %Userprofile%\Local Settings\Temporary Internet Files\Content.IE5\IHMZKI89\spm[1].exe
  • %Userprofile%\Templates\020rl4mpt4y2k1q2e38276nbclg20fs6
  • %Systemdrive%\Documents and Settings\All Users\Application Data\020rl4mpt4y2k1q2e38276nbclg20fs6

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\srv2E4
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srv2E4
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srv2E4
  • HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\GDIPlus
  • HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\.exe
  • HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\exefile
  • HKEY_CURRENT_USER\S-1-(不定)_Classes\.exe
  • HKEY_CURRENT_USER\S-1-(不定)_Classes\exefile

・以下のレジストリ値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\EnableFirewall: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\DoNotAllowExceptions: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\DisableNotifications: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DoNotAllowExceptions: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications: 0x00000001

・上記のレジストリにより、Windowsファイアウォールなどのセキュリティ設定を無効にします。

  • HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\.exe\shell\open\command\: ""C:\Documents and Settings\Administrator\Local Settings\Application Data\dsv.exe" -a "%1" %*"
  • HKEY_CURRENT_USER\S-1-(不定)\Software\Classes\exefile\shell\open\command\: ""C:\Documents and Settings\Administrator\Local Settings\Application Data\dsv.exe" -a "%1" %*"
  • HKEY_CURRENT_USER\S-1-(不定)_Classes\.exe\shell\open\command\: ""C:\Documents and Settings\Administrator\Local Settings\Application Data\dsv.exe" -a "%1" %*"
  • HKEY_CURRENT_USER\S-1-(不定)_Classes\exefile\shell\open\command\: ""C:\Documents and Settings\Administrator\Local Settings\Application Data\dsv.exe" -a "%1" %*"

・以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify: 0x00000001
  • HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Security Center\FirewallDisableNotify: 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify: 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride: 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start: 0x00000004

・上記のレジストリ項目により、Windowsセキュリティセンターのアラート、Windowsファイアウォールを無効にします。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\]
    “command” = ""%Userprofile%\Local Settings\Application Data\dsv.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe""
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\]
    “command” = ""%Userprofile%\Local Settings\Application Data\dsv.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe""
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\]
    “command” = ""C:\Documents and Settings\Administrator\Local Settings\Application Data\dsv.exe" 

・上記のレジストリ項目により、ユーザがfirefox、IExplorer.exeアプリケーションなどのブラウザを開こうとすると、すぐにBredolab.gen.cが実行されるようにします。

・また、正規のプロセスに自身を挿入し、リモートポート80を介して以下のIPアドレスに接続します。

  • 94.75.[削除].21
  • 109.94.[削除].52

[%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]


--2011年3月14日更新---

・最近の亜種は、これまでに報告された活動に加えて、以下の独自の特徴を示しています。

・Bredolab.gen.cはDHLからのメールを装う偽の添付ファイルとして届きます。

・実行時、以下のファイルがホストに追加されます。

%UserDir%\Application Data\Adobe\AdobeUtil .exe
%UserDir%\Application Data\Adobe\AdobeUtil.exe

**注:%UserDir%はユーザフォルダ(一般的にはC:\Documents and Settings\[カレントユーザ名])

・以下のドメインにアクセスしようとします。

accuratefiles.com
elsoplongt.com
et-treska.com
lulango.com


・実行時、以下のファイルをドロップ(作成)します。

  • %Temp%\1.tmp [SpyAgent-br.dllという名前で検出]
  • %System%\pgsb.lto [SpyAgent-br.dllという名前で検出]
  • %Temp%\2.tmp [Generic.dx!sriという名前で検出]

・Bredolab.gen.cはターゲットマシンで新しいサービスを作成します。このサービスの表示名は「Windows Security Center Service」で、Bredolab.gen.cがドロップ(作成)した以下のファイルを指しています。

  • %System%\svrwsc.exe [Bredolab.gen.cという名前で検出]

・また、以下のフォルダを作成します。

  • %CommonAppData%\Microsoft\OFFICE
  • %CommonAppData%\Microsoft\OFFICE\TEMP

注:

  • %Temp%はテンポラリフォルダを指す変数です。Windows XPの場合、デフォルトでは、C:\Documents and Settings\[ユーザ名]\Local Settings\Tempになります。
  • %System%はシステムフォルダを指す変数です。Windows XPの場合、デフォルトではC:\Windows\System32になります。
  • %CommonAppData%は、すべてのユーザのアプリケーションデータを格納するファイルシステムフォルダを指す変数です。Windows XPの場合、デフォルトではC:\Documents and Settings\All Users\Application Dataになります。

・また、以下のサイトに接続しようとします。

  • http://davidopolko.ru/migel/bb.php[削除]
  • http://turismorapido.com.br/_js/[削除]
  • http://JRTSQL.jackpotmsk.ru/[削除]
  • http://JMISON.piterfm1.ru/[削除]

・しかし、このウイルス情報の作成時、上記のサイトはダウンしていました。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルが存在します。
  • 上記のサイトへの予期しないネットワーク接続が存在します。

感染方法TOPへ戻る

・ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。

・また、以下のスクリーンショットに見られるような電子メールの添付ファイルとして届きます。

Bredolab.gen.c

駆除方法TOPへ戻る
■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン(特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを)を信用しないことを推奨します。