Kaspersky Threats

検出日

04/13/2011

クラス

Net-Worm

プラットフォーム

Win32

説明

ワーム全体のペイロードは、プロセス "EXPLORER.EXE"のアドレススペースに注入されるコードによって実行されます。次のいずれかの条件が満たされた場合、ペイロードは実行されません。

システムレジストリに次のブランチがありません。
```
 [HKCUControl PanelPowerCfgPowerPolicies] 
```

現在のユーザーのアカウント名は次のとおりです。

ユーザー名



ユーザー



コンピュータネーム



現在の使用者

以下のライブラリがワームのアドレス空間にロードされます：
```
 SbieDll.dll



dbghelp.dll



api_log.dll



dir_watch.dll



pstorec.dll
```
ワームの元のファイルは次のようにシステムに保存されました：
```
c：file.exe 
```
プロセス「EXPLORER.EXE」を介して悪質なコードを注入した後、以下のアクションが実行されます。
プロセスがシステム内で一意であることを保証するために、一意の識別子が作成されます。
感染したシステムへのアクセスを提供するために、次の名前付きパイプが作成されます。
```
 .piperrreokdirjiururrr 
```
悪意のあるユーザーのサーバーへの接続が確立されます。
```
ディ***インド



ant *** tition.com



fre *** unge.com
```
ワームは、悪意のあるユーザーによるコマンドに続いて、感染したコンピュータ上で次の操作を実行できます。
- 指定したサーバーでDoS攻撃を構成します。
- 送信されたリンクからファイルをダウンロードします。ダウンロードしたファイルは、現在のユーザーの一時ファイルディレクトリ "％Temp％"にランダムな名前で保存されます。
- 悪意のあるユーザーのサーバーから更新されたバージョンのワームをダウンロードします。
- これらのブラウザの設定ファイルを分析する：
```
Mozilla Firefox



インターネットエクスプローラ



グーグルクローム



オペラ
```
  その中に保存されているパスワードを盗むためです。
- ブラウザのCookieを盗み、変更する。これを行うために、このワームはブラウザMozilla Firefoxに組み込まれた "sqlite"モジュールを使用します。
- 「インストール」セクションおよび「伝播」セクションで説明されているアクション。ワームは、以下のタイプのメッセージを介して、悪意のあるユーザーのサーバーとのやり取りを行います。
```
スキャンが停止しました



スキャン実行中



スキャン開始



送信されたKBデータ：<number>



送信されたSYNパケット：<number>



洪水



フラッドが停止しました：<文字列>



フラッディング：<文字列>



感染したドライブ：<string>



USBスプレッダー実行中



P2Pコピー先：<文字列>



MSNスプレッダー実行中



MSNスプレッド開始、リンク：<string> MSNリンク送信
```
- 悪質なユーザからのコマンドによって、 "hosts"ファイルを置き換えることもできます：
```
 ％System％driversetchosts 
```
  執筆時点では、悪意のあるユーザーのサーバーは応答していませんでした。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

検出日	04/13/2011
クラス	Net-Worm
プラットフォーム	Win32
説明	ワーム全体のペイロードは、プロセス "EXPLORER.EXE"のアドレススペースに注入されるコードによって実行されます。次のいずれかの条件が満たされた場合、ペイロードは実行されません。システムレジストリに次のブランチがありません。 [HKCUControl PanelPowerCfgPowerPolicies] 現在のユーザーのアカウント名は次のとおりです。ユーザー名ユーザーコンピュータネーム現在の使用者以下のライブラリがワームのアドレス空間にロードされます： SbieDll.dll dbghelp.dll api_log.dll dir_watch.dll pstorec.dll ワームの元のファイルは次のようにシステムに保存されました： c：file.exe プロセス「EXPLORER.EXE」を介して悪質なコードを注入した後、以下のアクションが実行されます。プロセスがシステム内で一意であることを保証するために、一意の識別子が作成されます。感染したシステムへのアクセスを提供するために、次の名前付きパイプが作成されます。 .piperrreokdirjiururrr 悪意のあるユーザーのサーバーへの接続が確立されます。ディ*インド ant * tition.com fre *** unge.com ワームは、悪意のあるユーザーによるコマンドに続いて、感染したコンピュータ上で次の操作を実行できます。指定したサーバーでDoS攻撃を構成します。送信されたリンクからファイルをダウンロードします。ダウンロードしたファイルは、現在のユーザーの一時ファイルディレクトリ "％Temp％"にランダムな名前で保存されます。悪意のあるユーザーのサーバーから更新されたバージョンのワームをダウンロードします。これらのブラウザの設定ファイルを分析する： Mozilla Firefox インターネットエクスプローラグーグルクロームオペラその中に保存されているパスワードを盗むためです。ブラウザのCookieを盗み、変更する。これを行うために、このワームはブラウザMozilla Firefoxに組み込まれた "sqlite"モジュールを使用します。「インストール」セクションおよび「伝播」セクションで説明されているアクション。ワームは、以下のタイプのメッセージを介して、悪意のあるユーザーのサーバーとのやり取りを行います。スキャンが停止しましたスキャン実行中スキャン開始送信されたKBデータ：<number> 送信されたSYNパケット：<number> 洪水フラッドが停止しました：<文字列> フラッディング：<文字列> 感染したドライブ：<string> USBスプレッダー実行中 P2Pコピー先：<文字列> MSNスプレッダー実行中 MSNスプレッド開始、リンク：<string> MSNリンク送信悪質なユーザからのコマンドによって、 "hosts"ファイルを置き換えることもできます：％System％driversetchosts 執筆時点では、悪意のあるユーザーのサーバーは応答していませんでした。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Net-Worm.Win32.Kolab