・Exploit-PDF.ca!streamはまもなく開催されるサッカーワールドカップに関する情報を装うワールドカップをテーマにしたスパムで配布されています。アフリカのサファリ主催団体であるGreenlifeのWebサイトにあった有効なPDFをベースに改変され、悪質なコードが組み込まれました。
・Exploit-PDF.ca!streamを開くと、CVE-2010-0188に記載されているAdobe ImageConversionの脆弱性を利用します。この脆弱性は2月16日にAdobeによって修正されています。
・システムの脆弱性が利用されると、PDFがユーザに表示され、以下の動作がバックグラウンドで行われます。
・以下のファイルがシステムにドロップ(作成)されます。
- %PROGRAMFILES%\Windows Media Player\mpvps.dll
- %WINDIR%\system32\drivers\PCIDump.sys
(%PROGRAMFILES%はプログラムファイルのインストールフォルダ(通常はC:\Program Files)、%WINDIRはWindowsのインストールフォルダ(通常はC:\Windows))
・上記のファイルはそれぞれBackDoor-EMP、Generic.dx!pcdという名前で検出されます。
・以下のレジストリキーがシステムに追加されます。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCIDump\Enum
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Raslac\Enum
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Raslac\Security
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Raslac\Parameters\ServiceDll = "C:\Arquivos de programas\Windows Media Player\mpvps.dll"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Raslac\Type = 0x00000010
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Raslac\Start = 0x00000002
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Raslac\ErrorControl = 0x00000001
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Raslac\ImagePath = "%SystemRoot%\System32\svchost.exe -k netsvcs"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Raslac\DisplayName = "Remote Access Connection Locator"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Raslac\ObjectName = "LocalSystem"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Raslac\Description = "Remote Access Connection Locator"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\GlobalUserOffline
・起動時に新しいサービスを始動するため、以下のキーが改変されます。
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs
- HKLM\SYSTEM\CurrentControlSet\Control\ServiceCurrent
・悪質なDLLが以下のURLにアクセスして、感染したマシンの接続状況と地域を確認します。
