製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス名危険度
CoreFlood.dll
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4244
対応定義ファイル
(現在必要とされるバージョン)
6036 (現在7507)
対応エンジン5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Microsoft : Backdoor:Win32/Afcore.gen!E IKarus : Backdoor.Win32.Afcore Avira : BDS/Afcore.131072E.1PCTools - Backdoor.CorefloodSophos - Troj/Inject-NPSymantec - Backdoor.Coreflood!genTrendMicro - TROJ_POSADOR.SMF
情報掲載日2010/07/12
発見日(米国日付)2005/02/23
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/21Generic.tfr!...
07/21RDN/Generic ...
07/21Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7507
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・CoreFlood.dllはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

-- 2010年7月9日更新 --

ファイル情報

MD5 - E881225BE8989D85729EE0B28412695B
SHA- 3FBC5AB1BCD8938D1527231547D5B5E71137C8FC

・「CoreFlood.dll」はバックドアです。CoreFlood.drという名前で検出されるソースファイルがドロップ(作成)されるコンテンツです。CoreFlood.dllは正規のWindowsプロセスに挿入され、バックドア活動を仕掛けます。

・実行時、以下のファイルをドロップ(作成)します。

%Systemdrive%\gpedmte.dat [データファイル]
%WinDir%\cryphdll.dat [データファイル]
%WinDir%\jobexdc.dat [データファイル]
%WinDir%\cryptuqx.dat [データファイル]

・以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B4D49EB-425F-AD3A-C258-D29C7653A53A}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B4D49EB-425F-AD3A-C258-D29C7653A53A}\InprocServer32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\gpedmt

・以下のレジストリ値が追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B4D49EB-425F-AD3A-C258-D29C7653A53A}\]
    InprocServer32 = "%SystemDrive%gpedmte.ocx"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B4D49EB-425F-AD3A-C258-D29C7653A53A}\]
    = "gpedmte"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\]
    gpedmte = "{0B4D49EB-425F-AD3A-C258-D29C7653A53A}"

・上記のレジストリキーの[ShellIconOverlayIdentifier]項目はCLSIDを使ってWindowsレジストリ内に作成され、Explorerプロセスが開始すると、DLLファイルが起動するようにします。DLL自体はWindowsエクスプローラ、iexploreプロセスに挿入されます。

-- 2009年4月27日更新 --

・CoreFlood.dllの一部の亜種がTCPポート80でhilton.xxxxxxhost.comに接続することが確認されています。CoreFlood.dllはシステム情報をリモート攻撃者に転送します。また、以下のコマンドをリモート攻撃者から受け取り、ターゲットシステムで実行することも確認されています。

RUNDLL
SETRANGE
ECHO
INFO
EXIT
RESTART
RESPAWN
MOVE
UNINSTALL
MULTICAST
RESOLVE
RUN
NOP
STATS
URL
SETCOOKIE
DELCOOKIES
LISTCOOKIES
LOG
EXPORT
COPY
ADD
INS
DEL
LST
ADDTO
DELFROM
SETSTR
PERFRM
UNFREEZE
RMOLD
OPEN
TIME
RSV
UNIFORG
SETWND
LSTWND
SHUTDOWN
DISKFLOOD
DISKUNFLOOD
SPACE
WND
FIND
SET

・CoreFlood.dllはCoreFlood.drによって作成されるdllファイルです。CoreFlood.drのコアコンポーネントは、ランダムに生成される名前に拡張子「.dil」(「i」は意図的)を付けたdllをWindows System32ディレクトリに追加します。

・ランダムに生成されるCLSIDを使って、ShellIconOverlayIdentifierの項目がWindowsレジストリに作成され、Explorerのプロセスの起動時に起動されるようにします。DLL自体はWindowsエクスプローラ、iexploreプロセスに挿入されます。

・CoreFlood.dllの機能には、システムホスト項目の改変、ポート80でのhttp通信などがあり、指示に従ってフラッド攻撃を仕掛ける複数のボットと同様のコードが組み込まれています。

-- 2009年11月30日更新 --

・以下のファイルがシステムに追加されます。

  • %SystemDir%\l#623070.dll [W32/Sality.dllという名前で検出]
  • %SystemDir%\m#623070.dll [W32/Sality.dllという名前で検出]
  • %SystemDir%\m#623070.dl_ [W32/Sality.dllという名前で検出]
  • %SystemDir%\l#623070.dl_ [W32/Sality.dllという名前で検出]

・上記のファイルはWin32 PE実行ファイルに感染するポリモルフィックウイルスです。ポリモルフィックウイルスは、ウイルス対策ソフトウェアによる検出を回避する手段として、さまざまなコピーを作成します(コピーは完全に機能します)。

・以下のレジストリ要素が作成されます。

  • HKEY_LOCAL_MACHINE\software\classes\clsid\{[Random_CLSID]}\InprocServer32
    (既定) = %SystemDir%\[ランダムなDLL名].dIl
  • HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\[ランダムなDLL名]
    (既定) = {[ランダムなCLSID]}

・上記のレジストリキーにはDLLへのフルパスが格納されています。ブラウザを使ってWebページにアクセスすると、COM(Component Object Module)オブジェクトがほかのアプリケーションによってロードされます。CLSIDのInProcServerには、使われているDLLファイルに関する情報が格納されます。

・「ShellIconOverlayIdentifiers」により、デフォルト値がCLSIDの文字列に設定されます。

・システムの改変

・以下は一般的なパス変数の既定値です。(異なる場合もありますが、一般的には以下のとおりです。)

%SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista),
\WINNT\SYSTEM32 (Windows NT/2000)

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルおよびレジストリキーが存在します。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足