--2011年5月3日更新---
・「W32/Rimecud」は、リムーバブルドライブまたはネットワーク共有を介して繁殖する可能性があるワームです。W32/Rimecudを実行させるため、「Folder Icon」のウィンドウをアイコンとして使用し、ユーザをだまして開かせようとします。
・実行時、以下の場所に自身をコピーします。
- %UserProfile%\Local Settings\Application Data\Start\update.exe
- [リムーバブルドライブ]:\フォルダ名.exe
[注:「フォルダ名」はリムーバブルメディア内の既存のフォルダ名]
・既存のフォルダ名で自身をコピーし、既存のフォルダの属性を変更して隠します。
・上記の「フォルダ名.exe」ファイルはフォルダのように見えます。ファイルをクリックして開くと、バックグラウンドで動作すると同時に、対応するオリジナルのフォルダを開きます。
・以下のレジストリ値が追加されます。
- HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\
Startup = "%UserProfile%\Local Settings\Application Data\start"
・以下のレジストリ値が改変されます。
- HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden = 0x00000002
- HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
HideFileExt = 0x00000001
- HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden = 0x00000000
- HKEY_CURRENT_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
WebViewBarricade = 0x00000000
・上記のレジストリ項目により、ファイル拡張子を隠し、乗っ取ったユーザが隠しファイル、フォルダを閲覧できないようにします。
・W32/Rimecudのインスタンスが一度に1つだけ動作するよう、以下のMutexオブジェクトが作成されます。
・また、以下のフォルダがシステムに追加されます。
- %UserProfile%\Local Settings\Application Data\S-1-[不定]
- %UserProfile%\Local Settings\Application Data\S-1-[不定]\dmc
- %UserProfile%\Local Settings\Application Data\S-1-[不定]\tlsr
- %UserProfile%\Local Settings\Application Data\S-1-[不定]\Rotinom
- %UserProfile%\Local Settings\Application Data\start
注:
%UserProfile%はC:\Documents and Settings\[ユーザ名]
--2011年4月1日---
・実行時、Explorer.exeに自身を挿入し、リモートポート44425を介してdigita[削除]ind.cnに接続します。
・実行時、以下の場所に自身をコピーします。
- :[リムーバブルドライブ]:\webguard\webguard32.exe
- %Systemdrive%\RECYCLER\S-1-(不定)\MsMxEng.exe
・また、以下のファイルをドロップ(作成)します。
- %Userprofile%\Desktop\Desktop.ini
- :[リムーバブルドライブ]:\autorun.inf
・また、すべてのリムーバブルドライブ、マップされたドライブのルートにautorun.infファイルをドロップ(作成)し、ドライブアクセス時に実行ファイルが自動的に実行されるようにします。
・「AutoRun.inf」ファイルはW32/Rimecudの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、W32/Rimecudが自動的に起動されます。
・autorun.infは以下のコマンド構文で、W32/Rimecudのファイルが起動するように設定されています。
- I?g?,.Ch?EInaLj?@??e??eeatlse?dA??????<?N???i??oTm??o?-oM?vA???E?oCMy?}a???D?Ix???EO@?aa?
- [autorun
- I?g?,.Ch?EInaLj?@??e??eeatlse?dA??????<?N???i??oTm??o?-oM?vA???E?oCMy?}a???D?Ix???EO@?aa?
- open=webguard/webguard32.exe
- icon=%SystemRoot%\system32\SHELL32.dll,4
- action=Open folder to view files using Windows Explorer
- USEAUToplay=1
- shell\\open\\\\command=webguard/webguard32.exe
- shell\\\explore\\command=webguard/webguard32.exe
・以下のレジストリ値が追加されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]
“Taskman” = "%Userprofile%\Desktop\MsMxEng.exe"
・上記のレジストリにより、W32/Rimecudが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。
・また、Explorer.exeに自身を挿入し、リモートポート10021を介して以下のIPアドレスに接続します。
・ポート44425でリモートサーバへの接続を開き、以下のサイトからの接続を行います。
・また、MSNおよび以下の既知のP2Pアプリケーションを介して拡散できます。
- BearShare
- iMesh
- Shareaza
- Kazaa
- DC++
- eMule
- LimeWire
・また、以下の動作を実行します。
l・ブラウザで保存された機密データを盗み出します。
l・リモートシステムへのフラッド攻撃を開始/中止します。
l・他の悪質なファイルをダウンロードして実行します。
[%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]
--2010年3月4日更新---
・実行時、以下のサイトに接続します。
- Jebena.ana[削除]olic.su、リモートポート4500経由
- xm-load[削除].com、リモートポート443経由
・実行時、以下の場所に自身をコピーします。
・また、以下のファイルをドロップ(作成)します。
- %Appdata%\xdoibern3b3hpdrgynxupjh3axczsxea2\svcnost.exe
- %Temp%\375.exe
- %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\8WEL7ODI\bggnind[1].txt
- %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\I65VJICG\server1[1].exe
・以下のレジストリ値が追加されます。
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
“mssend” = ""%Appdata%\xdoibern3b3hpdrgynxupjh3axczsxea2\svcnost.exe""
・上記のレジストリにより、W32/RimecudがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]
“Taskman” = "%UserProfile%\xvlof.exe"
・以下の値をレジストリキーに追加して、Windowsファイアウォールで許可されたアプリケーションとして自身を登録します。
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
“C:\Documents and Settings\Administrator\Application Data\xdoibern3b3hpdrgynxupjh3axczsxea2\svcnost.exe” = "%Appdata%\xdoibern3b3hpdrgynxupjh3axczsxea2\svcnost.exe:*:Enabled:ldrsoft"
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
“C:\Documents and Settings\Administrator\Application Data\xdoibern3b3hpdrgynxupjh3axczsxea2\svcnost.exe” = "%Appdata%\xdoibern3b3hpdrgynxupjh3axczsxea2\svcnost.exe:*:Enabled:ldrsoft"
・リモートポート25を介して91.207.[削除].7に接続します。
[%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]
-- 2010年10月26日更新 --------------
・マカフィーが受け取ったサンプルファイルのsjlp.exeは、実行時、以下の場所にsjlp.exeという名前で自身をコピーします。
- %RootDir% \Application Data\sjlp.exe
・以下のレジストリ項目を追加します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Taskman = %RootDir%\ Application Data\sjlp.exe "
・上記のレジストリにより、Windowsが起動するたびに「sjlp.exe」が実行されるようにします。
・以下のとおり、リムーバブルドライブを介した繁殖が可能です。
・以下のファイルを作成します。
* %RootDir%\RECYCLER\[ID]\Desktop.ini
・また、MSN、およびBearShare、iMesh、Shareaza、Kazaa、DC++、eMule、LimeWireのような既知のP2Pアプリケーションを介した拡散が可能です。
UDPポート1030で感染マシンから以下のドメインへのトラフィックが発生する可能性があります。
- jebena.[削除]lic.su
- juice.los[削除]la.org
- peer.[削除]e.ru
- teske.[削除]ke.com
-- 2010年10月12日更新 --------------
・マカフィーが受け取ったサンプルファイルのooyi.exeは、実行時、以下の場所にooyi.exeという名前で自身をコピーします。
- %RootDir% \Application Data\ooyi.exe
・以下のレジストリ項目を追加します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Taskman = %RootDir%\ Application Data\ooyi.exe "
・上記のレジストリにより、Windowsが起動するたびに「ooyi.exe」が実行されるようにします。
・以下のとおり、リムーバブルドライブを介した繁殖が可能です。
・以下のファイルを作成します。
* %RootDir%\RECYLCER\[ID]\Desktop.ini
・また、MSN、およびBearShare、iMesh、Shareaza、Kazaa、DC++、eMule、LimeWireのような既知のP2Pアプリケーションを介した拡散が可能です。
UDPポート1030で感染マシンから以下のドメインへのトラフィックが発生する可能性があります。
- prcolina.[削除]onica.com
- kreten. [削除]-ljepotice.ru
- sombrero. [削除].net
- dzaba. [削除].com
- 84.19. [削除].194
-- 2010年8月6日更新 --------------
・実行時、W32/Rimecudは動作中の「explorer.exe」プロセスに悪質なコードを挿入し、これを利用して、リモートポート53000から「tinaivanovic.sexy-[削除].info」に接続します。
・以下のファイルが追加されます。
- %Userprofile%\ctfmon.exe [W32/Rimecudという名前で検出]
- %Userprofile%\Desktop.ini [悪質でないファイル]
・以下のレジストリ値が追加されます。
[HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]
Taskman = "%Userprofile%\Desktop\ctfmon.exe"
・上記のレジストリ項目により、Windowsが起動するたびに「ctfmon.exe」が実行されるようにします。
[注: %Userprofile% - C:\Documents and Settings\[ユーザ名]]
-- 2010年5月11日更新 --
・マカフィーが受け取ったサンプルファイルのfix.exeは、実行時、以下の場所にhdav.exeという名前で自身をコピーします。
- %RootDir%\RECYLCER\[ID]\hdav.exe (W32/Rimecudという名前で検出)
・以下のレジストリ項目を追加します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Taskman = %RootDir%\RECYLCER\[ID]\hdav.exe"
・以下のとおり、リムーバブルドライブを介した繁殖が可能です。以下のデータを格納したautorun.infファイルを作成します。
[autorun]
open=FIREWALL\fix.exe
icon=%SystemRoot%\system32\SHELL32.dll,2
action=Open folder to view files
shell\open=Open
shell\open\command=FIREWALL\fix.exe
shell\open\default=1
・また、MSN、およびBearShare、iMesh、Shareaza、Kazaa、DC++、eMule、LimeWireのような既知のP2Pアプリケーションを介した拡散が可能です。
・UDPポート10111で感染マシンから以下のドメインへのトラフィックが発生する可能性があります。
- arta.romail[削除]est.info
- parta.q8[削除]ll.net
- furious.devils[削除].com
-- 2010年3月5日更新 --
・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。
http://www.theregister.co.uk/2010/03/02/mariposa_botnet_takedown/
--
・多くの場合、W32/Rimecudにはnissan.exe、sysdate.exe、dllrun32.exeといった名前が付けられています。ただし、他のファイル名が使われている場合もあります。実行時、以下のファイルに自身をコピーします。
* %RootDir%\RECYLCER\[ID]\sysdate.exe
(%RootDir%はドライブのルート文字(C:\))
・以下のファイルを作成します。
* %RootDir%\RECYLCER\[ID]\Desktop.ini
・以下のレジストリキーを追加します。
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman: "%RootDir%\RECYLCER\[ID]\sysdate.exe"
・explorer.exeプロセスに悪質なコードを挿入します。その後、自身のプロセスを終了します。
また、別の小さなコードを別のexplorer以外のプロセスに挿入し、explorer.exeプロセスを監視します。 感染したexplorer.exeがクラッシュすると、explorer.exe以外のプロセスによってW32/Rimecudが再起動され、コードがexplorer.exeプロセスに挿入しなおされます。
・W32/Rimecudはリムーバブルドライブ、ネットワーク共有を介して拡散します。リムーバブルドライブまたはネットワークドライブが存在する場合、ドライブのルートにフォルダを作成し、以下の2つのファイルをドロップ(作成)します。
* %RootDir%\cache.tmp\tmp376 (ファイル名はランダムな可能性があります) * %RootDir%\cache.tmp\Desktop.ini
・また、MSN、P2Pネットワークを介しても拡散します。
・リモートサーバからさらにマルウェアをダウンロードしようとします。
・接続するリモートサーバの一例は以下のとおりです。
* Bfisb[削除].org
* Butte[削除].es
* San[削除]ica.com
* Butte[削除].biz
* Qwer[削除].es
・バックドアを開き、リモート攻撃者が以下の動作を実行できるようにします。
* DDoS
* Firefoxのパスワードの盗み出し
* IEのパスワードの盗み出し
* ファイルのダウンロード
* P2Pへの拡散
* MSNへの拡散
* USBを介した拡散
* その他
