・W32/Pinkslipbot.gen.wはIRCコマンド&コントロールサーバに接続できるワームです。接続後、このIRCサーバから攻撃者の命令に従うことができます。また、マルウェアの作者が管理するWebサイトから悪質なファイルをダウンロードします。
・実行時、以下の場所に自身をコピーします。ファイル名は下記と異なる場合があります。
- %temp%\edpwcgk.dll
- %temp%\edpwcqa.exe
・上記のDLLファイルをほとんどの実行中のプロセスのアドレス空間に挿入し、悪質な活動を行います。
・亜種の中には、以下のレジストリキーを作成するものがあります。
- HKEY_CURRENT_USER\ S-1-不定]\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
・以下のレジストリ値がシステムに追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
[ランダム] = "%temp%\edpwcqa.exe"
- HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\
[ランダム] = "%temp%\edpwcqa.exe"
・さらに、再起動するための仕組みとして、.jobファイルを作成する亜種も確認されています。
・また、既存のRUNキーを検索し、以下のように改変する可能性があります。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
Adobe Reader Speed Launcher = "%temp%\edpwcqa.exe" /c "%Programfiles%\adobe\reader 9.0\reader\reader_sl.exe""
・以下のドメインに接続し、アップデートと構成ファイルを受信します。
- swallowthe[削除]e.com/cgi-bin/clientinfo3.pl”
- red[削除].com.ua/cgi-bin/exhandler4.pl
- red[削除].com.ua/cgi-bin/ss.pl
- nt[削除].cn/cgi-bin/jl/jloader.pl?r=3d
- nt[削除].in/cgi-bin/jl/jloader.pl?r=q
- nt[削除].in/cgi-bin/jl/jloader.pl?
- nt[削除].in/1
- nt15.in
- nt002.cn
- nt12.co.in
- nt14.co.in
- hotb[削除].com
- cdcdcdcdc212[削除].com
- host[削除].com
- boogiewo[削除].com
- nt002.cn
- up002.cn
- adserv.co.in
- up004.cn
- up01.co.in
- nt002.cn
- nt010.cn
- nt202.cn
- up02.co.in
- up03.in
- up003.com.ua
- nt15.in
- nt16.in
・ダウンロードされた構成ファイルには、コマンドの受信、盗み出したデータのアップロードに利用できるIRC、FTPサイトに関する情報が格納されている可能性があります。情報には、使用するサーバポート、チャネル、ユーザ名、パスワードが含まれます。
・また、ユーザが以下の文字列を含むWebサイトに接続すると、ユーザのトラフィックを監視する可能性があります。
- cashproonline.bankofamerica.com
- cashplus
- ebanking-services.com
- cashman
- web-cashplus.com
- treas-mgt.frostbank.com
- business-eb.ibanking-services.com
- treasury.pncbank.com
- access.jpmorgan.com
- ktt.key.com
- onlineserv
- premierview.membersunited.org
- directline4biz.com
- onb.webcashmgmt.com
- tmconnectweb
- moneymanagergps.com
- ibc.klikbca.com
- directpay.wellsfargo.com
- express.53.com
- itreasury.regions.com
- itreasurypr.regions.com
- cpw-achweb.bankofamerica.com
- businessaccess.citibank.citigroup.com
- businessonline.huntington.com
- cashproonline.bankofamerica.com
- /cashplus/
- ebanking-services.com
- /cashman/
- singlepoint.usbank.com
- netconnect.bokf.com
- moneymanagergps
・コントローラが以下のいずれかを実行する可能性があります。
- 追加コンポーネントのアップデート/ダウンロード
- 自身のアンインストール
- FTP機能の実行
- ファイルのアップロード
- プロセスの強制終了
- システム、マルウェアの情報の収集
・収集されるシステム情報の一例は以下のとおりです。
- 外部IP
- DNS名
- ホスト名
- 国
- 州
- 都市
- ユーザ
- ドメイン
- OS
- 時刻
- クッキー
- MSNのユーザ名とパスワード
- ログイン、パスワードを含む、IEのパスワード保護されたサイト
・ユーザが以下のセキュリティ関連のWebサイトにアクセスできないようにします。
- avast
- avg
- avira
- avp
- bitdefender
- bit9
- castlecops
- centralcommand
- clamav
- comodo
- computerassociates
- cpsecure
- defender
- drweb
- emsisoft
- esafe
- eset
- etrust
- ewido
- fortinet
- f-prot
- f-secure
- gdata
- grisoft
- hacksoft
- hauri
- ikarus
- jotti
- k7computing
- kaspersky
- malware
- mcafee
- microsoft
- networkassociates
- nod32
- norman
- norton
- panda
- pctools
- prevx
- quickheal
- rising
- rootkit
- securecomputing
- sophos
- spamhaus
- spyware
- sunbelt
- symantec
- threatexpert
- trendmicro
- virus
- wilderssecurity
- windowsupdate
・以下のセキュリティ関連のツール、その他のプロセスを終了します。
- ollydbg.exe
- dbgview.
- msdev.exe;
- cmd.exe;
- far.exe;
- nc.exe
- ccApp.exe
- skype
- R&Q.exe
- Photoed
- outlook.exe
- mmc.exe
- ctfmon.exe
・また、ルートキットコンポーネントを使って、実行中のプロセス、レジストリ項目など、自身の存在を隠す亜種も確認されています。タスクマネージャ、regedit.exeなどの通常のプロセスビューア、レジストリエディタには表示されません。自身の存在を隠すため、以下のAPIにフックします。
- ntdll.dll!NtQuerySystemInformation
- kernel32.dll!GetProcAddress
- kernel32.dll!FindFirstFileW
- kernel32.dll!FindNextFileW
- kernel32.dll!FindFirstFileA
- kernel32.dll!FindNextFileA
- USER32.dll!CharToOemBuffA
- ADVAPI32.dll!RegEnumValueW
- ADVAPI32.dll!RegEnumValueA
- WS2_32.dll!connect
- WS2_32.dll!send
- WS2_32.dll!WSASend
- WS2_32.dll!WSAConnect
[%temp%はユーザのテンポラリフォルダ、%Programfiles%はユーザのProgram Filesフォルダ]
