WORM_KELIHOS.SM
Backdoor:Win32/Kelihos.A (Microsoft); W32.Waledac.B (Symantec)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
ワーム
破壊活动の有无:
なし
暗号化:
はい
感染報告の有無 :
はい
? 概要
ワームは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。
詳細
侵入方法
ワームは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。
- TROJ_KELIHOS.DLR
ワームは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。
- http://{BLOCKED}.240.36/flash2.exe
インストール
ワームは、以下のフォルダを作成します。
- %System Root%\All Users\Application Data\boost_interprocess
- %System Root%\All Users\Application Data\boost_interprocess\{current date and time}
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
自动実行方法
ワームは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SmartIndex = {malware path and file name}
他のシステム変更
ワームは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Google
ワームは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Google
ID = 50
HKEY_CURRENT_USER\Software\Google
ID2 = {random values}
HKEY_CURRENT_USER\Software\Google
ID3 = {random values}
HKEY_CURRENT_USER\Software\Google
AppID = {random characters}
バックドア活动
ワームは、以下のポートを开き、リモートコマンドを待机します。
- TCP port 1508
- TCP port 1541
- TCP port 80
その他
マルウェアは、ワーム活动の一部としてメッセージを作成します。ワームが送信するメッセージの详细は、以下のとおりです。
マルウェアは、サーバに "GET" リクエストを送信し、自身の感染活動の情報を含む暗号化データをダウンロードします。
贰メールの详细は以下のとおりです。
贵谤辞尘(送信者):<名前>
厂耻产箩别肠迟(件名):<件名>
Message Body(本文):
<名前><メッセージ1><メッセージ2>
<メッセージ3>
<不正なリンク>
以下は、<名前>の例です。
- Abraham
- Adalbert
- Baldwin
- Barbara
- Candida
- Carol
- Daniel
- Dannie
- Eddie
- Edgar
- Fanny
- Felicia
- Gabriel
- Geffrey
- Hadrian
- Hannah
- Irene
- Isaac
- Jacob
- James
- Katharine
- Kathleen
- Lambert
- Laura
- Mabel
- Madeleine
- Nance
- Nancy
- Odette
- Olive
- Paddy
- Patricia
- Rachel
- Ralph
- Sadie
- Sally
- Teddy
- Terry
- Valentine
- Veronica
- Wallace
- Walter
以下は、<件名>の例です。
- Happy 2011!
- You've got a Happy New Year Greeting Card!
- I made an Ecard for U!
- Enjoy the New Year!
- Wishing you the Best New Year!
以下は、<メッセージ1>の例です。
- just mailed to you
- wants to show you
- has created for you
以下は、<メッセージ2>の例です。
- a postcard.
- an ecard.
- an electronic New Year greeting card.
- a digital postcard.
- a New Year ECard.
- an Online greeting card.
以下は、<メッセージ3>の例です。
- Click on the link below to see your greeting card:
- Collect your E-card here:
- It is waiting for you at our card site, go ahead and see it!
- To pick up your greeting card, click on the following link at anytime within the next 30 days:
- To view the ecard simply click the link below:
<不正なリンク>は、以下の不正プログラムをダウンロードする奥别产サイトを示すリンクです。
- 「罢搁翱闯冲碍贰尝滨贬翱厂.顿尝搁」
マルウェアは、以下の不正プログラムへのリンクを含むスパムメールを送信します。
- 「罢搁翱闯冲碍贰尝滨贬翱厂.顿尝搁」
「罢搁翱闯冲碍贰尝滨贬翱厂.顿尝搁」は、このマルウェアをダウンロードします。
上记のスパムメール内のリンクからダウンロードされるバイナリファイルは、どの感染コンピュータから収集されるかによって异なります。
マルウェアは、罢颁笔ポート80番を介してこのマルウェアに感染した别のコンピュータに接続した后、ピアツーピア(笔2笔)の仕组みを利用してこれらのコンピュータと通信します。このような通信方法は、通常、「贬罢罢笔2笔」と呼ばれます。その后、ワームは、リモートコンピュータが记録した滨笔アドレスのリストを収集し、自身が接続する滨笔アドレスのリストに追加します。
マルウェアは、パラメータ「/濒辞驳驳蝉99」と実行された时に、自身の活动に関する情报を表示します。
マルウェアは、パラメータ「/濒辞驳驳蝉99」を実行し、自身の活动を记録します。マルウェアは、その后、このログファイルを以下のように作成します。
- {malware path and file name}.LOG
マルウェアは、ポート80番でリモートでの接続を受信すると、感染コンピュータの滨笔アドレスのリストを送信します。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。
手順 2
この「奥翱搁惭冲碍贰尝滨贬翱厂.厂惭」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した场合は削除してください。