|
|
ウイルス情報| ウイルス名 | 危険度 | | W32/Vulcanbot | 企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意] |
|
|
| 種別 | トロイの木馬 | 最小定義ファイル
(最初に検出を確認したバージョン) | 5870 | 対応定義ファイル
(現在必要とされるバージョン) | 5936 (現在7080) | | 対応エンジン | 5.4.00以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 情報掲載日 | 2010/04/01 | | 発見日(米国日付) | 2010/01/23 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
| ウイルスの特徴 | TOPに戻る | |
・W32/Vulcanbotは攻撃者が管理するホストへのリモート接続を確立しようとするボットマルウェアです。非標準的なプロトコルを使って、命令や制御のための通信が行われます。
・インストール時、以下のイベントが見られます。
・以下のレジストリキーが追加されます。
- HKEY_CLASSES_ROOT\CLSID\{3B7C8860-D78F-101B-B9B5-04021C009402}
- HKEY_CLASSES_ROOT\CLSID\{78E5A540-1850-11CF-9D53-00AA003C9CB6}
- HKEY_CLASSES_ROOT\CLSID\{AFC634B0-4B8B-11CF-8989-00AA00688B10}
- HKEY_CLASSES_ROOT\CLSID\{B617B991-A767-4F05-99BA-AC6FCABB102E}
- HKEY_CLASSES_ROOT\Interface\{3B7C8862-D78F-101B-B9B5-04021C009402
- HKEY_CLASSES_ROOT\Interface\{859321D0-3FD1-11CF-8981-00AA00688B10}
- HKEY_CLASSES_ROOT\Interface\{E9A5593C-CAB0-11D1-8C0B-0000F8754DA1}
- HKEY_CLASSES_ROOT\Interface\{ED117630-4090-11CF-8981-00AA00688B10}
- HKEY_CLASSES_ROOT\TypeLib\{3B7C8863-D78F-101B-B9B5-04021C009402}
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\jucheck
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\jucheck
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JUCHECK
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\jucheck
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\jucheck
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\jucheck
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JUCHECK
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\jucheck
- HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\jucheck\: "Service"
- HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\jucheck\: "Service"
- HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_JUCHECK\0000\Control\*NewlyCreated*: 0x00000000
- HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_JUCHECK\0000\Control\ActiveService: "jucheck"
- HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_JUCHECK\0000\Service: "jucheck"
- HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_JUCHECK\0000\ConfigFlags: 0x00000000
- HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_JUCHECK\0000\Class: "LegacyDriver"
- HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_JUCHECK\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
- HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_JUCHECK\0000\DeviceDes%RootDir% "Java online update program"
- HKLM\SYSTEM\ControlSet001\Services\lanmanworkstation\DependOnService: 'jucheck'
- HKLM\SYSTEM\ControlSet001\Services\lanmanworkstation\DependOnGroup: 00
- HKLM\SYSTEM\ControlSet001\Services\jucheck\Enum\0: "Root\LEGACY_JUCHECK\0000"
- HKLM\SYSTEM\ControlSet001\Services\jucheck\Enum\Count: 0x00000001
- HKLM\SYSTEM\ControlSet001\Services\jucheck\Enum\NextInstance: 0x00000001
- HKLM\SYSTEM\ControlSet001\Services\jucheck\Type: 0x00000010
- HKLM\SYSTEM\ControlSet001\Services\jucheck\Start: 0x00000002
- HKLM\SYSTEM\ControlSet001\Services\jucheck\ErrorControl: 0x00000002
- HKLM\SYSTEM\ControlSet001\Services\jucheck\ImagePath: "[Path to executable]\jucheck.exe"
- HKLM\SYSTEM\ControlSet001\Services\jucheck\DisplayName: "Java online update program"
- HKLM\SYSTEM\ControlSet001\Services\jucheck\DependOnService: 'RpcSs'
- HKLM\SYSTEM\ControlSet001\Services\jucheck\DependOnGroup: 00
- HKLM\SYSTEM\ControlSet001\Services\jucheck\ObjectName: "LocalSystem"
- HKLM\SYSTEM\CurrentControlSet\Services\jucheck\Enum\0: "Root\LEGACY_JUCHECK\0000"
- HKLM\SYSTEM\CurrentControlSet\Services\jucheck\Enum\Count: 0x00000001
- HKLM\SYSTEM\CurrentControlSet\Services\jucheck\Enum\NextInstance: 0x00000001
- HKLM\SYSTEM\CurrentControlSet\Services\jucheck\Type: 0x00000010
- HKLM\SYSTEM\CurrentControlSet\Services\jucheck\Start: 0x00000002
- HKLM\SYSTEM\CurrentControlSet\Services\jucheck\ErrorControl: 0x00000002
- HKLM\SYSTEM\CurrentControlSet\Services\jucheck\ImagePath: "[Path to executable]\jucheck.exe"
- HKLM\SYSTEM\CurrentControlSet\Services\jucheck\DisplayName: "Java online update program"
- HKLM\SYSTEM\CurrentControlSet\Services\jucheck\DependOnService: 'RpcSs'
- HKLM\SYSTEM\CurrentControlSet\Services\jucheck\DependOnGroup: 00
- HKLM\SYSTEM\CurrentControlSet\Services\jucheck\ObjectName: "LocalSystem"
・W32/Vulcanbotが起動時に動作するよう、以下のキーが追加されます。
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit: "%SystemDirectory%\userinit.exe,[実行ファイルへのパス]\[実行ファイル名].exe"
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit": "%SysDir%\userinit.exe, %RootDir%\Program Files\Adobe\AdobeUpdateManager.exe"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows Update "C:\Program Files\Windows NT\Windows Update\wuauclt.exe"
・以下のファイルがホストに追加されます。
- %UserDir%\Application Data\Java\jre6\bin\jucheck.exe
- %UserDir%\Application Data\Java\jre6\bin\zf32.dll
- %UserDir%\Application Data\Microsoft\Internet Explorer\Quick Launch\VPSKEYS 4.3.lnk
- %RootDir%\Program Files\Adobe\AdobeUpdateManager.exe
- %RootDir%\Program Files\Java\jre6\bin\jucheck.exe
- %RootDir%\Program Files\Microsoft Office\Office11\OSA.exe
- %SysDir%\mscommon.inf
- %SysDir%\msconfig32.sys
- %SysDir%\zf32.dll
- %SysDir%\Setup\AdobeUpdateManager.exe
- %SysDir%\Setup\jucheck.exe
- %SysDir%\Setup\MPClient.exe
- %SysDir%\Setup\MPSvc.exe
- %SysDir%\Setup\OSA.exe
- %SysDir%\Setup\wuauclt.exe
- %SysDir%\Setup\zf32.dll
注:%UserDir%はカレントユーザフォルダ、%RootDir%はルートインストールフォルダ、%SysDir%はWindowsのシステムフォルダ(通常はWindows/System32)です。
・ポート80、2120、8585またはランダムな数値の大きいポート上でリモートホストとの通信が行われる可能性があります。
・テスト中、以下のドメインへの接続が行われました。
- google.h[削除]nix.com
- [削除]qwer.dyndns.org
- blogspot.blogsite.org
- [削除]ews.ath.cx
- [削除]nix.com
- [削除]mail.ath.cx
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る |
- 上記のファイルおよびレジストリキーが存在します。
- 予期しないドメインへのネットワーク接続が行われます。
|
|
| 感染方法 | TOPへ戻る | |
・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。
|
|
|
|
|  |
