Kaspersky Threats

検出日

04/13/2011

クラス

Net-Worm

プラットフォーム

Win32

説明

ワーム全体のペイロードは、プロセス "EXPLORER.EXE"のアドレススペースに注入されるコードによって実行されます。次のいずれかの条件が満たされた場合、ペイロードは実行されません。

システムレジストリに次のブランチがありません。
```
 [HKCUControl PanelPowerCfgPowerPolicies] 
```

現在のユーザーのアカウント名は次のとおりです。

ユーザー名ユーザーコンピュータネーム現在の使用者

以下のライブラリがワームのアドレス空間にロードされます：
```
 SbieDll.dlldbghelp.dllapi_log.dlldir_watch.dllpstorec.dll
```
ワームの元のファイルは次のようにシステムに保存されました：
```
c：file.exe 
```
プロセス「EXPLORER.EXE」を介して悪質なコードを注入した後、以下のアクションが実行されます。
プロセスがシステム内で一意であることを保証するために、一意の識別子が作成されます。
感染したシステムへのアクセスを提供するために、次の名前付きパイプが作成されます。
```
 .piperrreokdirjiururrr 
```
悪意のあるユーザーのサーバーへの接続が確立されます。
```
ディ***インドant *** tition.comfre *** unge.com
```
ワームは、悪意のあるユーザーによるコマンドに続いて、感染したコンピュータ上で次の操作を実行できます。
- 指定したサーバーでDoS攻撃を構成します。
- 送信されたリンクからファイルをダウンロードします。ダウンロードしたファイルは、現在のユーザーの一時ファイルディレクトリ "％Temp％"にランダムな名前で保存されます。
- 悪意のあるユーザーのサーバーから更新されたバージョンのワームをダウンロードします。
- これらのブラウザの設定ファイルを分析する：
```
Mozilla Firefoxインターネットエクスプローラグーグルクロームオペラ
```
  その中に保存されているパスワードを盗むためです。
- ブラウザのCookieを盗み、変更する。これを行うために、このワームはブラウザMozilla Firefoxに組み込まれた "sqlite"モジュールを使用します。
- 「インストール」セクションおよび「伝播」セクションで説明されているアクション。ワームは、以下のタイプのメッセージを介して、悪意のあるユーザーのサーバーとのやり取りを行います。
```
スキャンが停止しましたスキャン実行中スキャン開始送信されたKBデータ：<number>送信されたSYNパケット：<number>洪水フラッドが停止しました：<文字列>フラッディング：<文字列>感染したドライブ：<string>USBスプレッダー実行中P2Pコピー先：<文字列>MSNスプレッダー実行中MSNスプレッド開始、リンク：<string> MSNリンク送信
```
- 悪質なユーザからのコマンドによって、 "hosts"ファイルを置き換えることもできます：
```
 ％System％driversetchosts 
```
  執筆時点では、悪意のあるユーザーのサーバーは応答していませんでした。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

検出日	04/13/2011
クラス	Net-Worm
プラットフォーム	Win32
説明	ワーム全体のペイロードは、プロセス "EXPLORER.EXE"のアドレススペースに注入されるコードによって実行されます。次のいずれかの条件が満たされた場合、ペイロードは実行されません。システムレジストリに次のブランチがありません。 [HKCUControl PanelPowerCfgPowerPolicies] 現在のユーザーのアカウント名は次のとおりです。ユーザー名ユーザーコンピュータネーム現在の使用者以下のライブラリがワームのアドレス空間にロードされます： SbieDll.dlldbghelp.dllapi_log.dlldir_watch.dllpstorec.dll ワームの元のファイルは次のようにシステムに保存されました： c：file.exe プロセス「EXPLORER.EXE」を介して悪質なコードを注入した後、以下のアクションが実行されます。プロセスがシステム内で一意であることを保証するために、一意の識別子が作成されます。感染したシステムへのアクセスを提供するために、次の名前付きパイプが作成されます。 .piperrreokdirjiururrr 悪意のあるユーザーのサーバーへの接続が確立されます。ディ*インドant * tition.comfre *** unge.com ワームは、悪意のあるユーザーによるコマンドに続いて、感染したコンピュータ上で次の操作を実行できます。指定したサーバーでDoS攻撃を構成します。送信されたリンクからファイルをダウンロードします。ダウンロードしたファイルは、現在のユーザーの一時ファイルディレクトリ "％Temp％"にランダムな名前で保存されます。悪意のあるユーザーのサーバーから更新されたバージョンのワームをダウンロードします。これらのブラウザの設定ファイルを分析する： Mozilla Firefoxインターネットエクスプローラグーグルクロームオペラその中に保存されているパスワードを盗むためです。ブラウザのCookieを盗み、変更する。これを行うために、このワームはブラウザMozilla Firefoxに組み込まれた "sqlite"モジュールを使用します。「インストール」セクションおよび「伝播」セクションで説明されているアクション。ワームは、以下のタイプのメッセージを介して、悪意のあるユーザーのサーバーとのやり取りを行います。スキャンが停止しましたスキャン実行中スキャン開始送信されたKBデータ：<number>送信されたSYNパケット：<number>洪水フラッドが停止しました：<文字列>フラッディング：<文字列>感染したドライブ：<string>USBスプレッダー実行中P2Pコピー先：<文字列>MSNスプレッダー実行中MSNスプレッド開始、リンク：<string> MSNリンク送信悪質なユーザからのコマンドによって、 "hosts"ファイルを置き換えることもできます：％System％driversetchosts 執筆時点では、悪意のあるユーザーのサーバーは応答していませんでした。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Net-Worm.Win32.Kolab