ウイルス情報

ウイルス名 危険度

Painter

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4689
対応定義ファイル
(現在必要とされるバージョン)
4689 (現在7709)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2006/02/06
発見日(米国日付) 2006/02/03
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・Painterは、VBで作成された、さまざまな役割を持つ、1つのBOTコントローラで制御されたトロイの木馬ファイルの集合体です。ファイルはAsPack Packerで圧縮されています。Botnetが、マーケティング関連の収益を得るため、Painterを制御しているようです。

・Painterは「BOTクライアント」と「BOTコントローラ」の2つのコンポーネントで構成されています。

・ファイルの集合体であるBOTクライアントは195.225.[非表示]にホストされている複数のセキュリティホールを突いたコードを使用してインストールされます。このIPのindex.htmlページには、ターゲットマシンに実行ファイルをドロップ(作成)するJS/Exploit-DragDropが組み込まれています。また、Exploit-AnifileExploit-HelpXSiteもトロイの木馬のダウンロードに使用されています。さらに、VBS/Inorトロイの木馬を使用して、ターゲットマシンで悪質なファイルを実行することも確認されています。

・「http://entplanet.com/[非表示]」にホストされているBOTコントローラは感染したマシンの台数を追跡します。感染ユーザ数によって、ターゲットマシンはサーバからダウンロードするファイルに関する情報が格納された「mswinup32.dll」を受信します。

BOTクライアント

・winapi32.dllはユーザのシステムにBHOとしてインストールされるメインのコントローラファイルです。Internet Explorer、Explorer.exeの両方に挿入されます。これらのアプリケーションが起動すると、挿入されたBHOがshell386.exeファイルをドロップ(作成)して実行します。

・shell386.exeは「生きている」ことを伝えるping信号をメインサーバに送信します。次に、XMLコントローラの記述(下記参照)に従って、コンポーネントをダウンロードします。

・検索キーワードが乗っ取られ、「online-casino-searcher.com」を介してリダイレクトされ、検索結果のWebページが自身のサーバによって返されます。下記の画像のように、検索ページはGoogleから返されるものとそっくりですが、有害な仕掛けが施されています。「S*X」と「Teen」というキーワードが「インテリジェントテキスト」として取り込まれており、マウスを乗せると「itxt.exe」が実行されます。

XMLコントローラ

・mswinxml.dllはXMLファイルで、Painterの各コンポーネントの動作に関する情報が記述されています。以下はXMLファイルからの抜粋です。

・このXMLファイルが現在機能しています。

Data that controls balloon.exe

Example XML construct.

"baloon_message title="Your computer is working slowly!" caption="Slow operation speed might have been caused by malicious spyware. Run Spyware scan now to remove all viruses and spyware programs from your computer!" url="http://www.spywareno.com/?advid=8"

Other Titles, captions observed are:

Title

・ “Tip:"

・ “Attention! Outside access attempt detected!"

・ "Warning! Potential Spyware operation!"

・ "Alert!"

・ "Danger level: Red!"

・ "Your security and privacy are at risk!"

・ "Your data is being transmitted to another computer over the Internet."

・ “Your computer is not protected against spyware!"

・ "Danger! Spyware activity detected on your computer!"

・ "Alert! You are receiving spam!"

・ "Alert! A minimum of 6 spyware entries found."

・ "Credit card hijacking attempt detected!"

Caption

・ "If you have visited porn or warez sites lately your computer might be infected with spyware or Trojans. Scan your computer now and remove all possible threats before they do any damage to your system!" b style="mso-bidi-font-weight: normal">

・ “Somebody's trying to gain access to your PC using DATA MINER program. Run System Scan now to block further unauthorized access attempts."

・ “There is a possibility that someone is trying to steal your credit card number over the Internet using a spyware program" b style="mso-bidi-font-weight: normal">

・ “Spyware has been detected on your computer. Run a Full System Scan immediately!"

・ "Data Miner - a dangerous Spyware stealing and collecting your data, possibly does this. Scan your PC now to get rid of this malicious program."

・ “This may lead to your PC getting infected with malicious spyware able to steal your data including passwords, credit card numbers, etc. Scan your computer for spyware now!"

・ "Full system scan highly recommended to remove possible malicious spyware. Scan now!"

・ “This means your computer is infected with malicious spyware. Scan your PC for spyware now!"

・ “Scan your computer now to prevent spyware from stealing your credit card number!"

・ “This is a result of harmful spyware activity. Scan your PC now to reveal and remove malicious spyware!"

・ “Troyan.Virus.Z.32.exe launch attempt detected and blocked! It is recommended that you run a full system scan now to reveal other possible threats."

URL

・ “http://www.spywareno.com/?advid=8"


Fake Virus

flame_file virusname="Universal Porn Dialer" filename="xxxdialer.exe" url=http://www.spywareno.com/?advid=8

Virusname

・ Universal Porn Dialer

・ Win32.Trojan.Downloader

・ Win32.Exploit.mzH

Filename

・ xxxdialer.exe

・ netstat2.exe

・ mzrun.exe

URL

http://www.spywareno.com/?advid=8


Popups

popup width="800" height="600" url=http://www.bestgamblecasino.com[非表示] interval="3600"

Intxt.exe configuration data (Intellitext)

keyword word="spyware" title="Download spyware remover now!" caption="Award winning spyware remover for system protection. Click here to start downloading immediately." showurl="www.spywareno.com" linkurl="http://www.klikvipsearch.com/[非表示]" width="300" height="100">

keyword word="s*x" title="Free S*x" caption="Real Teenage S*x" showurl="MyAngelFuns.com" linkurl="http://www.klikvipsearch.com[非表示]" width="50" height="50">

keyword word="teen" title="Free Teens" caption="Real Teenage S*x" showurl="MyAngelFuns.com" linkurl="http://www.myangelfuns.com/[非表示]" width="50" height="50


Malicious Files

file isrun="ok" timeout="60" countrycount="1" country="IT;" freq="3600" ismodem="" locpath="%winsys%\syseee.exe" urlpath="http://195.225.[非表示]"

file isrun="ok" timeout="60" countrycount="1" country="US;" freq="3600" ismodem="yes" locpath="%winsys%\sysvvv.exe" urlpath="http://perlink.biz/[非表示]"

file isrun="ok" timeout="600" countrycount="0" country=";" freq="3600" ismodem="" locpath="%winsys%\sysnnn.exe" urlpath=http://195.225.[非表示]


Banners

baner width="468" height="100" dest="http://195.225.[非表示]" href="http://gate.damcash.com[非表示]" type="banner"

BOTコントローラ

・BOTコントローラをホストしているWebサイトには、以下の画像のような、XMLコントローラファイルに直接影響を及ぼすさまざまなオプションが用意されています。

図1

図2

図3

図4

図5

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 検索キーワードが「online-casino-searcher.com」に乗っ取られます。
  • XMLにかかれている警告を表示するバルーンがタスクバーに表示されます。
  • 以下のファイルおよびレジストリキーが存在します。
ファイルの追加
  • %sysdir%\intxt.exe (~29KB) (別名intellitext)
  • %sysdir%\mswinb32.dll
  • %sysdir%\mswinb32.exe (~53 KB、別名balloon.exe)
  • %sysdir%\mswinup32.dll (ダウンロードするファイルに関する情報が格納されたデータファイル)
  • %sysdir%\mswinxml.dll (暗号化されたデータファイル)
  • %sysdir%\service.exe (~6KB)
  • %sysdir%\shell386.exe (~37 KB)
  • %sysdir%\winapi32.dll (~63 KB)
  • %sysdir%\winlfl32.dll (暗号化されたデータ)
  • 「al22fnale」という文字列を含むcookieファイル
注:mswinup32.dllは実行ファイルではなくデータファイルです。 レジストリの変更

・service.exeによって以下のレジストリが追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WSCM\
Type: 0x00000110 Start: 0x00000002 ErrorControl: 0x00000000 ImagePath: "%SystemRoot%\System32\service.exe" DisplayName: "Windows Service Manager" ObjectName: "LocalSystem"
  • HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Enum\Root\LEGACY_NM\0000\Control\ActiveService: "nm"
  • HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Enum\Root\LEGACY_NPF\0000\Control\ActiveService: "NPF"
  • HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\WSCM\Security\Security: “data"
  • HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\WSCM\ Type: 0x00000110 Start: 0x00000002 ErrorControl: 0x00000000 ImagePath: "%SystemRoot%\System32\service.exe" DisplayName: "Windows Service Manager" ObjectName: "LocalSystem"

・winapi32.dllによって、PainterをBHOとしてインストールする以下のCLSID項目がインストールされます。

・ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

{06CC1B18-42FA-41B8-91A9-D3E3A848C7A8} VERSION: "1.0" TypeLib: "{D00648AC-D6CA-463B-BF40-3292BBBA31FD}" ProgID: "winapi32.MyBHO" InprocServer32: "%sysdir%\winapi32.dll" InprocServer32\ThreadingModel: "Apartment?Ebr /> Default: winapi32.MyBHO

・ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

{EC935945-F1FD-4EE4-9115-FB32CE93F34F} VERSION: "1.0" TypeLib: "{D00648AC-D6CA-463B-BF40-3292BBBA31FD}" ProgID: "winapi32.Intelinks" InprocServer32: "%sysdir%\winapi32.dll" InprocServer32\ThreadingModel: "Apartment?Ebr /> Default: "winapi32.Intelinks"

・ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

{F6B66174-7E95-46DB-B22F-E437A57D05BA} VERSION: "1.0" TypeLib: "{D00648AC-D6CA-463B-BF40-3292BBBA31FD}" ProgID: "winapi32.MyBaner" InprocServer32: "%sysdir%\winapi32.dll" InprocServer32\ThreadingModel: "Apartment?Ebr /> Default: "winapi32.MyBaner"

・ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\

{81F45473-C33C-4C63-AC30-711766CC1CFB} TypeLib: "{D00648AC-D6CA-463B-BF40-3292BBBA31FD}" TypeLib\Version: "1.0" ProxyStubClsid32: "{00020424-0000-0000-C000-000000000046}" ProxyStubClsid: "{00020424-0000-0000-C000-000000000046}" Default : "Intelinks"

・ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\

{B7FA6355-91E2-47E1-9CCB-4A77BD13B990} TypeLib: "{D00648AC-D6CA-463B-BF40-3292BBBA31FD}" TypeLib\Version: "1.0" ProxyStubClsid32: "{00020424-0000-0000-C000-000000000046}" ProxyStubClsid: "{00020424-0000-0000-C000-000000000046}" Default : "MyBHO"

・ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\

{B7FA6355-91E2-47E1-9CCB-4A77BD13B990} TypeLib: "{D00648AC-D6CA-463B-BF40-3292BBBA31FD}" TypeLib\Version: "1.0" ProxyStubClsid32: "{00020424-0000-0000-C000-000000000046}" ProxyStubClsid: "{00020424-0000-0000-C000-000000000046}" Default : "MyBaner"

・ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\

{D00648AC-D6CA-463B-BF40-3292BBBA31FD}\1.0 0\win32\: "C:\WINDOWS\System32\winapi32.dll" HELPDIR: "C:\WINDOWS\System32" FLAGS\: "0" Default: “winapi32?Ebr style="mso-special-character: line-break" />

・ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\

{D00648AC-D6CA-463B-BF40-3292BBBA31FD}\1.0\: "winapi32"

・ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\

winapi32.Intelinks\ Clsid\: "{EC935945-F1FD-4EE4-9115-FB32CE93F34F}"

・ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\

winapi32.Intelinks\: "winapi32.Intelinks"

・ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\

winapi32.MyBaner\ Clsid\: "{F6B66174-7E95-46DB-B22F-E437A57D05BA}"

・ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\

winapi32.MyBaner\: "winapi32.MyBaner"

・ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\

winapi32.MyBHO\ Clsid\: "{06CC1B18-42FA-41B8-91A9-D3E3A848C7A8}"

・ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\

winapi32.MyBHO\: "winapi32.MyBHO"

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

・Painterの場合、セキュリティホールを突いたコードをホストしているハイパーリンクを送信するだけで拡散します。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る