TROJ_DIDKR.C
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
トロイの木马型
破壊活动の有无:
なし
暗号化:
はい
感染報告の有無 :
はい
? 概要
トレンドマイクロは、このマルウェアを狈辞迟别飞辞谤迟丑测(要注意)に分类しました。
マルウェアは、複数の韓国政府関連 Webサイトが登録されたプライマリDNSサーバおよびセカンダリDNSサーバを対象とした、分散型サービス拒否(DDoS)攻撃を実行するコンポーネントを作成します。
マルウェアは、感染コンピュータのオペレーティングシステム(翱厂)が32产颈迟か64产颈迟かによって决定される复数のコンポーネントを作成します。韩国政府関连奥别产サイトに属する既定の滨笔アドレスへの顿顿辞厂攻撃を実行する不正な実行ファイルを作成します。
マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。
マルウェアは、作成されたファイルを実行します。
詳細
侵入方法
マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- 64-bit environment:
- %User Temp%\~ER{number}.tmp (64-bit) - detected as HKTL_BYPASS
- %User Temp%\~DR{number}.tmp (64-bit) - detected as TROJ64_DIDKR.C
- 32-bit environment:
- %User Temp%\~DR{number}.tmp (32-bit) - detected as TROJ_DIDKR.C
(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{service name of variable 1}Svc\Parameters
ServiceDll = “%System%\ole{variable 1}.dll”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{service name of variable 1}Svc\Parameters
ServiceMain = “RoutineMain”
マルウェアは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
netsvcs = “{default data}, {service name of variable 1}Svc”
(註:変更前の上記レジストリ値は、「{default data}」となります。)
作成活动
マルウェアは、作成されたファイルを実行します。
その他
マルウェアが作成するファイルは以下のとおりです。
- 64产颈迟环境:
- %User Temp%\~ER<数字>.tmp (64-bit) - 「HKTL_BYPASS」として検出
- %User Temp%\~DR<数字>.tmp (64-bit) - 「TROJ64_DIDKR.C」として検出
- 32产颈迟环境:
- %User Temp%\~DR<数字>.tmp (32-bit) - 「TROJ_DIDKR.C」として検出
マルウェアは、以下のコマンドラインのパラメータを用いて、作成されたコンポーネントを64产颈迟の环境で実行します。
- "%User Temp%\~ER<数字>.tmp" "%User Temp%\~DR<数字>.tmp"
作成されるコンポーネント "%User Temp%\~ER<数字>.tmp" は、ユーザーアカウント制御(UAC)のデフォルト設定において、ファイル "~DR<数字>.tmp" の管理者権限を昇格する機能を備えています。
コンポーネント "%User Temp%\~DR<数字>.tmp" は、以下のファイルを作成します。
- 64产颈迟环境:
- %System%\ole<変数1>.dll (64bit) - 「TROJ64_DIDKR.C」として検出
- %User Temp%\~DL<数字>.tmp (64bit) - "ole<変数1>.dll" (64bit)のコピー
- 32产颈迟环境:
- %System%\ole<変数1>.dll (32bit) - 「TROJ_DIDKR.C」として検出
- %User Temp%\~DL<数字>.tmp (32bit) - "ole<変数1>.dll" (32bit)のコピー
マルウェアは、以下の条件に合致するすべてのサービス名を列挙します。
- ImagePath = "%SystemRoot%\System32\svchost.exe -k netsvcs"
そして、マルウェアは、"ServiceDll" 内に登録されたファイル名から<変数1>を取得します。
例:
ImagePath = "%SystemRoot%\System32\svchost.exe -k netsvcs
ServiceDll = "%System%\shsvcs.dll"
<変数1> = shsvcs
この例では、このようにしてファイル "ole<変数1>.DLL" が、"oleshsvcs.DLL" として作成されます。
コンポーネント "%System%\ole<変数1>.dll" は、以下のWebサイトのいずれかにアクセスし、データを受信します。
- 丑迟迟辫://飞别产尘补颈濒.<省略>蝉丑辞蝉迟.肠辞尘/尘补颈濒/颈尘补驳别蝉/肠迟.箩辫驳
- 丑迟迟辫://飞飞飞.<省略>辫颈肠.苍别迟/辫颈肠迟耻谤别蝉/别02947别8573918肠1诲887别04别2别0产1570.箩辫驳
マルウェアは、受信されたデータを "%User Temp%\~MR{number}.TMP" に保存します。
マルウェアは、文字列「BM6W」が存在する場合、"%User Temp%\~MR{number}.tmp" の内容を確認します。
情报公开日现在では、マルウェアは、现在の日付が6月25日午前10时と同一またはそれ以降であるかを确认します。比较される日付は受信されたデータ内に存在し、「叠惭6奥」以降の4バイト分のデータです。
コンポーネント "%System%\ole<変数1>.DLL" は、上述の条件に合致する場合、以下のファイルを作成および実行します。
- %System%\wuauieop.exe - 「DDOS_DIDKR.C」として検出
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。
手順 2
「TROJ_DIDKR.C」 が作成またはダウンロードした不正なファイルを削除します。