・PornDial-177.dldrはダウンロードを行う悪質なソフトウェアで、スパムメールで送信されました。この悪質なソフトウェアの目的は、ユーザをポルノサービスに接続させるために、ダイアラーアプリケーション(PornDial-177 application)をダウンロードすることです。
・PornDial-177.dldrがターゲットマシンで実行されると、オペレーティングシステムに関する情報と最近実行されたプロセスの詳細を格納したログファイルが作成され、ディスクに保存されます。
・以下のレジストリキーを追加します(ID番号を格納します)。
- HKEY_LOCAL_MACHINE\Software\DKSoftware
Id = xxxxxxxx-xxxx
(XXXXXXXX-XXXXは、ID番号。例:0001fa8f-72bb)
・リモートサーバ(アダルトコンテンツをホスティングするWebサーバ)に接続して、HTTP要求でリモートサーバに以下のデータを送信します。
- トロイの木馬のファイル名
- ターゲットシステムから抽出した市外局番
- トロイの木馬のバージョンの詳細
・国名を選択する以下のダイアログボックスが表示されます。
注:リモートサーバに送信された市外局番が認識された場合は、該当する国名を前もって選択してドロップダウンリストに表示します。
・その後も、さまざまな設定データを取得するHTTP要求を送信します。あるHTTP要求では、プレーンテキストタグに含まれるバイナリファイルを取得します。このバイナリファイルはダイアラーのコンポーネントで、PornDial-177 applicationとして検出されます。このコンポーネントがダウンロードされると、以下のプログレスダイアログボックスを表示します。
注:PornDial-177.dldrと PornDial-177 applicationの複数のバージョンがスパムメールで送信されています。掲載情報はその中の1つのバージョンについての説明です。他のバージョンでは細部(ファイル名、ディレクトリ名、レジストリキーなど)が異なりますが、同様の発病ルーチンを実行すると考えられます。
・インストールされたファイルの大部分は、%SysDir%\WINDIALUPディレクトリに書き込まれます。
書き込まれるファイルの例:
- %SysDir%\WININETD.EXE(テストでは、ほとんど0バイトのファイルでした):ダイアラーのコンポーネント
- %SysDir%\WININETD.LOG(ファイルのサイズはさまざま):上記参照
- %SysDir%\WINDIALUP\%filename%\%filename%.EXE:ダウンローダコンポーネントのコピー
- %SysDir%\WINDIALUP\%filename%\COUNTRY.RTS:設定データ
- %SysDir%\WINDIALUP\%filename%\DIAL.EXE:ダイアラーコンポーネント。PornDial-177 applicationとして検出
- %SysDir%\WINDIALUP\%filename%\ICON.ICO:アイコンデータ
- %SysDir%\WINDIALUP\%filename%\LAUNCH.INI:設定データ
- %SysDir%\WINDIALUP\%filename%\DIAL.INI:設定データ
%filename%は、実行されるダウンローダのファイル名(例:2453.EXE)です。また、%SysDir%は、Windows Systemディレクトリ(例:C:\WINNT\SYSTEM32)です。
・システムにインストールされたファイルをすべて削除するには、%SysDir%\WINDIALUPフォルダを削除してください。%SysDir%ディレクトリからは、WININETD.LOGファイルを削除してください。
