-- 2010年12月2日更新 ------
・実行時、W32/Pinkslipbot.gen.jはリモートポート80から212.117.[削除].170に接続します。
・実行時、以下のファイルをドロップ(作成)します。
- %UserProfile%\qbothome\qbotinj.exe
- %UserProfile%\qbothome\qbotnti.exe
- %UserProfile%\qbothome\qbot.dll
・以下のレジストリ値が追加されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
[ランダムな名前] = “%UserProfile%\qbothome\qbotinj.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
[ランダムな名前] = “%UserProfile%\qbothome\qbotnti.exe"
・上記のレジストリにより、W32/Pinkslipbot.gen.jがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。
・以下のドメインに接続し、アップデートと構成ファイルを受信します。
- ads[削除]v.co.in
- up0[削除]4.cn
- up[削除]1.co.in
- up[削除]2.co.in
- up[削除].in
- up[削除]3.com.ua
・ダウンロードされた構成ファイルには、コマンドの受信、盗み出したデータのアップロードに利用できるIRC、FTPサイトに関する情報が格納されている可能性があります。情報には、使用するサーバポート、チャネル、ユーザ名、パスワードが含まれます。
・また、ユーザが以下の文字列を含むWebサイトに接続すると、ユーザのトラフィックを監視する可能性があります。
- cashproonline.bankofamerica.com
- /cashplus/
- ebanking-services.com
- /cashman/
- web-cashplus.com
- treas-mgt.frostbank.com
- business-eb.ibanking-services.com
- treasury.pncbank.com
- access.jpmorgan.com
- ktt.key.com;onlineserv/CM
- premierview.membersunited.org
- directline4biz.com
- onb.webcashmgmt.com
- tmconnectweb
- moneymanagergps.com
- ibc.klikbca.com
- directpay.wellsfargo.com
- express.53.com
- itreasury.regions.com
- itreasurypr.regions.com
- cpw-achweb.bankofamerica.com
- businessaccess.citibank.citigroup.com
- businessonline.huntington.com
・コントローラが以下のいずれかを実行する可能性があります。
- 追加コンポーネントのアップデート/ダウンロード
- 自身のアンインストール
- FTP機能の実行
- ファイルのアップロード
- プロセスの強制終了
- システム、マルウェアの情報の収集
・収集されるシステム情報の一例は以下のとおりです。
- 外部IP
- DNS名
- ホスト名
- 国
- 州
- 都市
- ユーザ
- ドメイン
- OS
- 時刻
- クッキー
- MSNのユーザ名とパスワード
- ログイン、パスワードを含む、IEのパスワード保護されたサイト
・ユーザが以下のセキュリティ関連のWebサイトにアクセスできないようにします。
- Webroot
- Agnitum
- Ahnlab
- Arcabit
- Avast
- Avg
- Avira
- Avp
- Bitdefender
- bit9
- castlecops
- centralcommand
- clamav
- comodo
- computerassociates
- cpsecure
- defender
- drweb
- emsisoft
- esafe
- eset
- etrust
- ewido
- fortinet
- f-prot
- f-secure
- gdata
- grisoft
- hacksoft
- hauri
- ikarus
- jotti
- k7computing
- kaspersky
- malware
- mcafee
- Microsoft
- Networkassociates
- nod32
- Norman
- Norton
- Panda
- Pctools
- Prevx
- Quickheal
- Rising
- Rootkit
- Securecomputing
- Sophos
- Spamhaus
- Spyware
- Sunbelt
- Symantec
- Threatexpert
- Trendmicro
- Virus
- Wilderssecurity
- Windowsupdate
・以下のセキュリティ関連のツール、その他のプロセスを終了します。
- msdev.exe
- dbgview.exe
- mirc.exe
- ollydbg.exe
- ccApp.exe
- skype
- R&Q.exe
- Photoed
- outlook.exe
- mmc.exe
- ctfmon.exe
------- 2010年10月27日更新 ------
・W32/Pinkslipbot.gen.jはIRCコマンド&コントロールサーバに接続できるワームです。接続後、このIRCサーバから攻撃者の命令に従うことができます。また、マルウェアの作者が管理するWebサイトから悪質なファイルをダウンロードします。
・実行時、以下の場所に自身をコピーします。
- %Appdata%\Microsoft\yzfm1\q1.14681
- %Appdata%\microsoft\yzfm1\yzfm1.exe
・さらに、以下のファイルをドロップ(作成)します。
- %Appdata%\Microsoft\yzfm1\yzfm.dll
・上記のDLLファイルをiexplorer.exeプロセスのアドレス空間に挿入し、悪質な活動を行います。
・以下のレジストリキーがシステムに追加されます。
- HKEY_CURRENT_USER\ S-1-不定]\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
・以下のレジストリ値がシステムに追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Qsxwh = "%Appdata%\microsoft\yzfm1\yzfm1.exe"
- HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\
Qzaccx = "%Appdata%\microsoft\yzfm1\yzfm1.exe"
・上記のレジストリ項目により、Windowsが起動するたびにW32/Pinkslipbot.gen.jが実行されるようにします。
・以下のレジストリ値が改変されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
Adobe Reader Speed Launcher = ""%Appdata%\microsoft\yzfm1\yzfm1.exe" /c "%Programfiles%\adobe\reader 9.0\reader\reader_sl.exe""
・以下のフォルダがシステムに追加されます。
- %Application Data%\Microsoft\yzfm1
・実行後、定期的に以下のWebサイトから複数の構成ファイルをダウンロードして分析します。
- cdcdcdcdc2121cdsf[削除].com/crontab.cb
- cdcdcdcdc2121cds[削除].com/updates.cb
- cdcdcdcdc2121c[削除].com/updates1.cb
- cdcdcdcdc[削除]cdsfdfd.com/_qbot.cb
・以下のドメインに接続し、アップデートと構成ファイルを受信します。
- swallowthe[削除]e.com/cgi-bin/clientinfo3.pl”
- red[削除].com.ua/cgi-bin/exhandler4.pl
- red[削除].com.ua/cgi-bin/ss.pl
- nt[削除].cn/cgi-bin/jl/jloader.pl?r=3d
- nt[削除].in/cgi-bin/jl/jloader.pl?r=q
- nt[削除].in/cgi-bin/jl/jloader.pl?
- nt[削除].in/1
- nt15.in
- nt002.cn
- nt12.co.in
- nt14.co.in
- hotb[削除].com
- cdcdcdcdc212[削除].com
- host[削除].com
- boogiewo[削除].com
- nt002.cn
- up002.cn
- adserv.co.in
- up004.cn
- up01.co.in
- nt002.cn
- nt010.cn
- nt202.cn
- up02.co.in
- up03.in
- up003.com.ua
- nt15.in
- nt16.in
・ダウンロードされた構成ファイルには、コマンドの受信、盗み出したデータのアップロードに利用できるIRC、FTPサイトに関する情報が格納されている可能性があります。情報には、使用するサーバポート、チャネル、ユーザ名、パスワードが含まれます。
・また、ユーザが以下の文字列を含むWebサイトに接続すると、ユーザのトラフィックを監視する可能性があります。
- cashproonline.bankofamerica.com
- cashplus
- ebanking-services.com
- cashman
- web-cashplus.com
- treas-mgt.frostbank.com
- business-eb.ibanking-services.com
- treasury.pncbank.com
- access.jpmorgan.com
- ktt.key.com
- onlineserv
- premierview.membersunited.org
- directline4biz.com
- onb.webcashmgmt.com
- tmconnectweb
- moneymanagergps.com
- ibc.klikbca.com
- directpay.wellsfargo.com
- express.53.com
- itreasury.regions.com
- itreasurypr.regions.com
- cpw-achweb.bankofamerica.com
- businessaccess.citibank.citigroup.com
- businessonline.huntington.com
・コントローラが以下のいずれかを実行する可能性があります。
- 追加コンポーネントのアップデート/ダウンロード
- 自身のアンインストール
- FTP機能の実行
- ファイルのアップロード
- プロセスの強制終了
- システム、マルウェアの情報の収集
・収集されるシステム情報の一例は以下のとおりです。
- 外部IP
- DNS名
- ホスト名
- 国
- 州
- 都市
- ユーザ
- ドメイン
- OS
- 時刻
- クッキー
- MSNのユーザ名とパスワード
- ログイン、パスワードを含む、IEのパスワード保護されたサイト
---------
・以下のレジストリキーがシステムに追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
・以下のレジストリ値がシステムに追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Default value="%AllUsersProfile%\_qbothome\_qbotinj.exe, %AllUsersProfile% \qbothome\_qbot.dll
・上記のレジストリにより、システムが起動するたびにW32/Pinkslipbot.gen.jが実行されるようにします。
・以下のファイルがシステムに追加されます。
- %AllUsersProfile%\qbothome\_qbot.dll
- %AllUsersProfile%\_qbothome\_qbotnti.exe
- %AllUsersProfile%\_qbothome\alias__qbotinj.exe
- %AllUsersProfile%\_qbothome\alias__qbot.dll
- %AllUsersProfile%\_qbothome\_qbotinj.exe
- %userprofile%\Start Menu\Programs\Startup\startup.bat
・以下の複数のドメインに接続し、アップデートと構成ファイルを受信します。
- http://nt[削除]n/cgi-bin/jl/jloader.pl?r=q
- http://nt[削除]n/cgi-bin/jl/jloader.pl?
- http://nt[削除]n/1
- http://nt0[削除]n/cgi-bin/jl/jloader.pl?r=3d
- http://red[削除]er.com.ua/cgi-bin/ss.pl
・また、以下のサーバに接続します。
- ads[削除].co.in
- www.cdc[削除]dc2121cdsfdfd.com
- u[削除]1.co.in
- u[削除]2.co.in
- u[削除]3.in
- u[削除]03.com.ua
・乗っ取ったユーザの情報を攻撃者に送信してバックドア活動を仕掛けます。
- IPアドレス
- DNS名
- ホスト名
- 国/州/都市名
- ユーザ名
- 管理ユーザかどうかの確認
- OS情報
・また、以下のアカウントからユーザ名とパスワードを盗み出します。
- MSNメッセンジャー
- Microsoft Outlook
- クッキーに格納されているデータ
・インターネットバンキングサイトへのアクセスを監視し、機密情報を入手しようとします。
- cashproonline.bankofamerica.com
- cashplus;
- ebanking-services.com
- cashman/ web-cashplus.com
- treas-mgt.frostbank.com
- business-eb.ibanking-services.com
- treasury.pncbank.com access.jpmorgan.com
- ktt.key.com onlineserv/CM
- premierview.membersunited.org directline4biz.com
- onb.webcashmgmt.com
- tmconnectweb moneymanagergps.com
- ibc.klikbca.com
- directpay.wellsfargo.com
- express.53.com
- itreasury.regions.com
- itreasurypr.regions.com
- cpw-achweb.bankofamerica.com
- businessaccess.citibank.citigroup.com
- businessonline.huntington.com
・W32/Pinkslipbot.gen.jのインスタンスが一度に1つだけ動作するよう、以下のMutexオブジェクトが作成されます。
- ~sasg2136ggvsdswin
- ~e439125sl.tmp
- ~e198ac781b.tmp
・ユーザが以下のセキュリティ関連のWebサイトにアクセスできないようにします。
- avast
- avg
- avira
- avp
- bitdefender
- bit9
- castlecops
- centralcommand
- clamav
- comodo
- computerassociates
- cpsecure
- defender
- drweb
- emsisoft
- esafe
- eset
- etrust
- ewido
- fortinet
- f-prot
- f-secure
- gdata
- grisoft
- hacksoft
- hauri
- ikarus
- jotti
- k7computing
- kaspersky
- malware
- mcafee
- microsoft
- networkassociates
- nod32
- norman
- norton
- panda
- pctools
- prevx
- quickheal
- rising
- rootkit
- securecomputing
- sophos
- spamhaus
- spyware
- sunbelt
- symantec
- threatexpert
- trendmicro
- virus
- wilderssecurity
- windowsupdate
・以下のセキュリティ関連のツール、その他のプロセスを終了します。
- ollydbg.exe
- dbgview.
- msdev.exe;
- cmd.exe;
- far.exe;
- nc.exe
- ccApp.exe
- skype
- R&Q.exe
- Photoed
- outlook.exe
- mmc.exe
- ctfmon.exe
[%userprofile% - C:\Documents and Settings\[ユーザ名]、%AllUsersProfile% - C:\Documents and Settings\All Users]
