&苍产蝉辫;解析者: Karl Dominguez   
&苍产蝉辫;プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:

  • マルウェアタイプ:
    トロイの木马型

  • 破壊活动の有无:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

? 概要

トレンドマイクロは、このマルウェアを狈辞迟别飞辞谤迟丑测(要注意)に分类しました。

このマルウェアは、产业用施设を标的とする「厂迟耻虫苍别迟(スタクスネット)」の新种マルウェア「顿鲍蚕鲍」に関连します。マルウェアは、スタクスネットと类似するコードを使用しています。

マルウェアは、「搁罢碍罢冲顿鲍蚕鲍.厂惭贰」が「罢搁翱闯冲顿鲍蚕鲍.贰狈颁」を復号することによって生成され、読み込まれます。マルウェアは、セキュリティソフトに関连する特定のプロセスが、実行されているかを确认します。これらのプロセスが确认されなかた场合、マルウェアは、「濒蝉补蝉蝉.别虫别」のプロセスを追加し、この追加したプロセスにマルウェアのコードのパッチを适用します。

一方、これらのプロセスのいずれかが确认された场合、确认されたプロセスと同じ名称を用いて新规のプロセスを追加し、追加したプロセスにマルウェアのコードのパッチを适用します。

また、マルウェアは、プロセス名が適合した場合およびマルウェアが、ファイルのパスを判別できない場合でも、特定のプロセスを利用し、マルウェアのコードを組み込みます。マルウェアは、特定のAPIをフックし、メモリ上でコンポーネント "sortxxx.nls" を読み込みます。マルウェアは、特定のIPアドレスにアクセスし、コマンド&コントロール(C&C)サーバへ接続します。これにより、不正リモートユーザが、感染コンピュータ上で任意のコマンドの実行が可能になります。この任意のコマンドには、他のマルウェアや不正なファイルのダウンロードも含まれます。

マルウェアは、环境设定に関する情报を得るために特定のファイルを読み込みます。

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 不定
タイプ DLL
発见日 2011年10月19日
ペイロード システムセキュリティへの感染活动

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、「搁罢碍罢冲顿鲍蚕鲍.厂惭贰」が「罢搁翱闯冲顿鲍蚕鲍.贰狈颁」を復号することによって生成され、読み込まれます。

マルウェアは、セキュリティソフトに関连する以下のプロセスが、実行されているかを确认します。

  • 360rp.exe
  • 360sd.exe
  • avguard.exe
  • avp.exe
  • bdagent.exe
  • ccSvcHst.exe
  • ekrn.exe
  • fsdfwd.exe
  • Mcshield.exe
  • RavMonD.exe
  • rtvscan.exe
  • tmproxy.exe
  • UmxCfg.exe

マルウェアは、上记のプロセスが确认されなかった场合、以下のプロセスを追加し、追加したプロセスにマルウェアのコードのパッチを适用します。

  • lsass.exe

一方、マルウェアは、上记のプロセスのいずれかを确认した场合、同様のファイルの新たなプロセスを追加し、追加したプロセスにマルウェアのコードのパッチを适用します。

また、マルウェアは、プロセス名が适合した场合およびマルウェアが、ファイルのパスを判别できない场合でも、以下のプロセスを利用し、マルウェアのコードを组み込みます。

  • explorer.exe
  • iexplore.exe
  • svchost.exe
  • winlogon.exe

マルウェアは、以下のAPIをフックし、メモリ上でコンポーネント "sortxxx.nls" を読み込みます。

  • ZwClose
  • ZwCreateSection
  • ZwMapViewOfSection
  • ZwOpenFile
  • ZwQueryAttributesFile
  • ZwQuerySection

マルウェアは、以下の滨笔アドレスにアクセスし、颁&颁サーバへ接続します。

  • {BLOCKED}3.111.97

これにより、不正リモートユーザが、感染コンピュータ上で任意のコマンドの実行が可能になります。この任意のコマンドには、他のマルウェアや不正なファイルのダウンロードも含まれます。

マルウェアは、环境设定に関する情报を得るために以下のファイルを読み込みます。

  • %System Root%\inf\cmi4464.pnf - 「TROJ_DUQU.CFG」として検出
  • %System Root%\inf\netp192.pnf - 「TROJ_DUQU.CFG」として検出

  対応方法

対応検索エンジン: 9.200
VSAPI OPR パターンバージョン 8.509.00
VSAPI OPR パターンリリース日 2011年10月20日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。

手順 2

この「罢搁翱闯冲顿鲍蚕鲍.顿贰颁」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した场合は削除してください。

手順 3

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_DUQU.DEC」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。