ウイルス情報

ウイルス名 危険度

CoreFlood.dll

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4244
対応定義ファイル
(現在必要とされるバージョン)
6036 (現在7633)
対応エンジン 5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Microsoft : Backdoor:Win32/Afcore.gen!E IKarus : Backdoor.Win32.Afcore Avira : BDS/Afcore.131072E.1PCTools - Backdoor.CorefloodSophos - Troj/Inject-NPSymantec - Backdoor.Coreflood!genTrendMicro - TROJ_POSADOR.SMF
情報掲載日 2010/07/12
発見日(米国日付) 2005/02/23
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・CoreFlood.dllはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

-- 2010年7月9日更新 --

ファイル情報

MD5 - E881225BE8989D85729EE0B28412695B
SHA- 3FBC5AB1BCD8938D1527231547D5B5E71137C8FC

・「CoreFlood.dll」はバックドアです。CoreFlood.drという名前で検出されるソースファイルがドロップ(作成)されるコンテンツです。CoreFlood.dllは正規のWindowsプロセスに挿入され、バックドア活動を仕掛けます。

・実行時、以下のファイルをドロップ(作成)します。

%Systemdrive%\gpedmte.dat [データファイル]
%WinDir%\cryphdll.dat [データファイル]
%WinDir%\jobexdc.dat [データファイル]
%WinDir%\cryptuqx.dat [データファイル]

・以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B4D49EB-425F-AD3A-C258-D29C7653A53A}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B4D49EB-425F-AD3A-C258-D29C7653A53A}\InprocServer32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\gpedmt

・以下のレジストリ値が追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B4D49EB-425F-AD3A-C258-D29C7653A53A}\]
    InprocServer32 = "%SystemDrive%gpedmte.ocx"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B4D49EB-425F-AD3A-C258-D29C7653A53A}\]
    = "gpedmte"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\]
    gpedmte = "{0B4D49EB-425F-AD3A-C258-D29C7653A53A}"

・上記のレジストリキーの[ShellIconOverlayIdentifier]項目はCLSIDを使ってWindowsレジストリ内に作成され、Explorerプロセスが開始すると、DLLファイルが起動するようにします。DLL自体はWindowsエクスプローラ、iexploreプロセスに挿入されます。

-- 2009年4月27日更新 --

・CoreFlood.dllの一部の亜種がTCPポート80でhilton.xxxxxxhost.comに接続することが確認されています。CoreFlood.dllはシステム情報をリモート攻撃者に転送します。また、以下のコマンドをリモート攻撃者から受け取り、ターゲットシステムで実行することも確認されています。

RUNDLL
SETRANGE
ECHO
INFO
EXIT
RESTART
RESPAWN
MOVE
UNINSTALL
MULTICAST
RESOLVE
RUN
NOP
STATS
URL
SETCOOKIE
DELCOOKIES
LISTCOOKIES
LOG
EXPORT
COPY
ADD
INS
DEL
LST
ADDTO
DELFROM
SETSTR
PERFRM
UNFREEZE
RMOLD
OPEN
TIME
RSV
UNIFORG
SETWND
LSTWND
SHUTDOWN
DISKFLOOD
DISKUNFLOOD
SPACE
WND
FIND
SET

・CoreFlood.dllはCoreFlood.drによって作成されるdllファイルです。CoreFlood.drのコアコンポーネントは、ランダムに生成される名前に拡張子「.dil」(「i」は意図的)を付けたdllをWindows System32ディレクトリに追加します。

・ランダムに生成されるCLSIDを使って、ShellIconOverlayIdentifierの項目がWindowsレジストリに作成され、Explorerのプロセスの起動時に起動されるようにします。DLL自体はWindowsエクスプローラ、iexploreプロセスに挿入されます。

・CoreFlood.dllの機能には、システムホスト項目の改変、ポート80でのhttp通信などがあり、指示に従ってフラッド攻撃を仕掛ける複数のボットと同様のコードが組み込まれています。

-- 2009年11月30日更新 --

・以下のファイルがシステムに追加されます。

  • %SystemDir%\l#623070.dll [W32/Sality.dllという名前で検出]
  • %SystemDir%\m#623070.dll [W32/Sality.dllという名前で検出]
  • %SystemDir%\m#623070.dl_ [W32/Sality.dllという名前で検出]
  • %SystemDir%\l#623070.dl_ [W32/Sality.dllという名前で検出]

・上記のファイルはWin32 PE実行ファイルに感染するポリモルフィックウイルスです。ポリモルフィックウイルスは、ウイルス対策ソフトウェアによる検出を回避する手段として、さまざまなコピーを作成します(コピーは完全に機能します)。

・以下のレジストリ要素が作成されます。

  • HKEY_LOCAL_MACHINE\software\classes\clsid\{[Random_CLSID]}\InprocServer32
    (既定) = %SystemDir%\[ランダムなDLL名].dIl
  • HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\[ランダムなDLL名]
    (既定) = {[ランダムなCLSID]}

・上記のレジストリキーにはDLLへのフルパスが格納されています。ブラウザを使ってWebページにアクセスすると、COM(Component Object Module)オブジェクトがほかのアプリケーションによってロードされます。CLSIDのInProcServerには、使われているDLLファイルに関する情報が格納されます。

・「ShellIconOverlayIdentifiers」により、デフォルト値がCLSIDの文字列に設定されます。

・システムの改変

・以下は一般的なパス変数の既定値です。(異なる場合もありますが、一般的には以下のとおりです。)

%SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista),
\WINNT\SYSTEM32 (Windows NT/2000)

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルおよびレジストリキーが存在します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る