WORM_BADTRANS.B
詳 細: --
これは、ワームに分類される「トロイの木馬型」不正プログラムで、 WORM_BADTRANS.A の亜種になります。自身のコピーをメールに添付して送信し、ネットワーク上で自己増殖するワーム活動を行います。また、侵入したマシン上でのキー入力を記録するハッキングツール的活動も行います。
このワームは流行した「ニムダ」ウイルス同様、 Internet Explorer のセキュリティホールを利用しメールをプレビューしただけで活動を開始する「ダイレクトアクション活動」を実現しています。メールの添付ファイルが実行されなくともメールがプレビューされたりオープンされるだけでメールの添付ファイルが実行されワームが活動を開始します。
メールに添付されるファイル名称はランダムに選択されたもので不定ですが、必ず拡張子が二重にあるファイルとなります。
活動:
ワームのプログラムが実行されるとメモリに常駐します。ワームのプロセスはサービスとして常駐するのでCtrl-Alt-Delのタスクマネージャーには表示されません。
そしてまず以下のファイルをWindowsのシステムディレクトリに作成します。
Kernel32.exe
cp_25389.nls
kdll.dll
上記ファイルのうち"Kernel32.exe"はワームのコピーです。すでにこのファイルが存在しシステムから使用中だったとしてもワームはプロセスを中止させ元からあるファイルを削除して新しく自身のコピーを作成します。
"kdll.dll"は侵入したシステム上でのキー入力を記録するためのハッキングツールプログラムです。この"kdll.dll"も「WORM_BADTRANS.B」の名称で検出されます。"kdll.dll"も実行されるとサービスとしてメモリに常駐します。また"cp_25389.nls"は"kdll.dll"が記録したキー入力の内容を暗号化して保存するためのログファイルです。
次にWindowsのレジストリに以下の値を追加します:
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
値:kernel32 = "kernel32.exe”
これによってWindows起動時にワームが自動実行されるように設定されます。以上の設定を終えるとワームは実行された自身のファイルを削除してしまいます。
このワームは大きく分けて自身を添付したメールを送信する「ワーム活動」とキー入力を記録する「ハッキング活動」の二種の不正活動を行います。
1)ワーム活動:
ワームはMAPIを使用するメーラーの設定を調べ、自身のコピーを添付したメールを自力で送信します。ワームが自身でメールを送信するため、ワームのメールはメーラーの送信履歴には残りません。
ワームは以下から取得したアドレスにメールを送信します:
a.受信トレイにある未読メールの送信者のアドレス
b.「マイドキュメント」フォルダ及び「temporary Internet files」フォルダ内にある"*.HT*、"*.ASP"(「*」はワイルドカード)というファイル名のファイル内から取得できたメールアドレス
ワームが送信するメールは以下の内容です:
送信者アドレス(From):以下の候補から無作為に選択したものが使用されます:
" Anna" <aizzo@home.com>
"JUDY" <JUJUB271@AOL.COM>
"Rita Tulliani" <powerpuff@videotron.ca>
"Tina" <tina0828@yahoo.com>
"Kelly Andersen" <Gravity49@aol.com>
" Andy" <andy@hweb-media.com>
"Linda" <lgonzal@hotmail.com>
"Mon S" <spiderroll@hotmail.com>
"Joanna" <joanna@mail.utexas.edu>
"JESSICA BENAVIDES" <jessica@aol.com>
" Administrator" <administrator@border.net>
" Admin" <admin@gte.net>
"Support" <support@cyberramp.net>
"Monika Prado" <monika@telia.com>
"Mary L. Adams" <mary@c-com.net>
件名:以下の候補から無作為に選択したものが使用されます:
"info"
"docs"
"Humor"
"fun"
ただし、上述 a.の未読メールの送信者のアドレスに対して送信する場合は元メールの件名の先頭に"Re:"をつけたものになります。
添付ファイル名:以下の候補から無作為に選択したものを使用した二重拡張子のファイル名("<ファイル名>.<拡張子1>.<拡張子2>"の形式)となります:
ファイル名候補:
"Pics"
"images"
"README"
"New_Napster_Site"
"news_doc"
"HAMSTER"
"YOU_are_FAT!"
"stuff"
"SETUP"
"Card"
"Me_nude"
"Sorry_about_yesterday"
拡張子1候補:
".DOC."
".ZIP."
".MP3."
拡張子2候補:
"scr"
"pif"
ファイル名例:"Pics.DOC.scr"、"Sorry_about_yesterday.MP3.pif"
2)ハッキング活動
ワームはシステムのRASアカウントやコンピューター名を取得する活動を行います。ハッキングツール部分である"kdll.dll"はメモリに常駐し、キー入力を記録する活動を行います。"kdll.dll"は"GetData"、"KeyLogOn"、"KeyLogOff"、"KeyLogOpt"の4つのファンクションを監視するとともに、すべてのキー入力を入力したユーザー名や入力された時間などの情報とともに記録します。
キー入力ログの例:
Sun, 25 Nov 2001 06:39:49, Computer: "PC1" User: "Administrator"
Title: "Run", 06:41:04
cmd.exe
Title: "Untitled - Notepad", 06:41:13
Testing keylogging in notepad.
-------------------------------------------------------------------
備 考:
一個のプログラムのため「駆除」できません。検知した場合は、ファイルを「削除」してください。「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合、「駆除失敗」と表示されることがありますがその際も検知したファイルを「削除」するだけで結構です。
もしワームが実行されたことによりシステムが改変された場合は、以下の手順で修復を行う必要があります:
手動削除手順:
安全のため、可能であればWindowsをセーフモードで起動して行ってください。
1)不正プログラムの自動起動設定を削除します。 Windows のレジストリエディタ(regedit.exe)などを使用してレジストリの以下の値を削除してください。
場所:\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
値:kernel32
2)再起動後、ウイルス検索を行って検知したファイルを全て「削除」してください。
|