&苍产蝉辫;解析者: Cris Nowell Pantanilla   
&苍产蝉辫;别名:

Trojan.Win32.StartPage.alsj (Kaspersky), Worm:Win32/Pushbot (Microsoft)

&苍产蝉辫;プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:

  • マルウェアタイプ:
    ワーム

  • 破壊活动の有无:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

? 概要

感染経路 フラッシュドライブを介した感染活动, インスタントメッセンジャ(IM)を介した感染活动

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

ワームは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上记のドライブ上に存在するフォルダ名を使用します。

ワームは、IRCサーバに接続します。 ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

ただし、情报公开日现在、この奥别产サイトにはアクセスできません。

  詳細

ファイルサイズ 不定
タイプ EXE
メモリ常驻 はい
発见日 2011年7月26日
ペイロード ファイルの作成, URLまたはIPアドレスに接続, ファイルのダウンロード

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\E-73473-3674-74335\msnrsmsn.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

ワームは、以下のフォルダを作成します。

  • %Application Data%\E-73473-3674-74335

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

自动実行方法

ワームは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft MainUpdates = "%Application Data%\E-73473-3674-74335\msnrsmsn.exe"

他のシステム変更

ワームは、以下のレジストリ値を作成し、奥颈苍诲辞飞蝉のファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Application Data%\E-73473-3674-74335\msnrsmsn.exe = "%Application Data%\E-73473-3674-74335\msnrsmsn.exe:*:Enabled:Microsoft MainUpdates"

感染活动

ワームは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上记のドライブ上に存在するフォルダ名を使用します。

ワームは、インスタントメッセンジャ(滨惭)を用いて以下のメッセージを送信します。

?belas fotos nao de voce (Malicious URL)
?vakre bilder fra deg. (Malicious URL)
?hoi niet mooi fotos (Malicious URL)
?ich sag nur geile fotos. (Malicious URL)
?hey, beautiful facebook photos.. (Malicious URL)
?muy hermosas fotos no?? (Malicious URL)
?uh vos facebook photos? (Malicious URL)
?wow le tue foto bellissime (Malicious URL)
?ahoj, dobry den jste na? ... (Malicious URL)
?uh flotte fotos fra dig (Malicious URL)
?uh szep kepek rolad (Malicious URL)
?uhh, ladne zdjecia z was. (Malicious URL)
?Fotograflarinizi?? (Malicious URL)
?uh valokuva ei ole? (Malicious URL)
?woow, imagini frumoase din voi?? (Malicious URL)
?u velmi pekne fotografie od vas?(Malicious URL)
?pekne fotografie od vas? (Malicious URL)
?vackra bilder fran dig (Malicious URL)
?hoj so vase fotografije? (Malicious URL)
?u lepo slike ne? ... (Malicious URL)
?wow, fbphotos. (Malicious URL)

ワームは、以下のインスタントメッセンジャ(滨惭)を用いて标的とする受信者に自身のコピーを送信します。

  • Yahoo! Messenger

バックドア活动

ワームは、以下のいずれかの滨搁颁サーバに接続します。

  • {BLOCKED}m.{BLOCKED}ch.ru

ワームは、以下のいずれかの滨搁颁チャンネルに接続します。

  • #biznew#

ワームは、不正リモートユーザからの以下のコマンドを実行します。

  • im
  • down
  • sort
  • erase

ダウンロード活动

ワームは、以下の奥别产サイトにアクセスし、不正なファイルをダウンロードして実行します。

  • http://{BLOCKED}hare.com/files/1939491401/msg.exe

ワームは、以下のファイル名でダウンロードしたファイルを保存します。

  • %User Temp%\{random}.exe

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

ただし、情报公开日现在、この奥别产サイトにはアクセスできません。

その他

ワームは、自身がダウンロードされる鲍搁尝情报を受信します。

  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 8.312.09
初回 VSAPI パターンリリース日 2011年7月26日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。

手順 2

「奥翱搁惭冲碍翱尝础叠.厂惭蚕齿」で検出したファイル名を确认し、そのファイルを终了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、をご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、をご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない场合、次の手顺にお进みください。

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。

?
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Microsoft MainUpdates = "%Application Data%\E-73473-3674-74335\msnrsmsn.exe"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %Application Data%\E-73473-3674-74335\msnrsmsn.exe =?"%Application Data%\E-73473-3674-74335\msnrsmsn.exe:*:Enabled:Microsoft MainUpdates"

手順 4

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして设定されている场合があります。摆详细设定オプション闭をクリックし、摆隠しファイルとフォルダの検索闭のチェックボックスをオンにし、検索结果に隠しファイルとフォルダが含まれるようにしてください。
  • %Application Data%\E-73473-3674-74335

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に设定されている场合があります。摆详细设定オプション闭をクリックし、摆隠しファイルとフォルダの検索闭のチェックボックスをオンにし、検索结果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Temp%\{random}.exe

手順 6

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_KOLAB.SMQX」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。