本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Net-Worm.Win32.Kolab

検出日 04/13/2011
クラス Net-Worm
プラットフォーム Win32
説明

ワーム全体のペイロードは、プロセス "EXPLORER.EXE"のアドレススペースに注入されるコードによって実行されます。次のいずれかの条件が満たされた場合、ペイロードは実行されません。

  • システムレジストリに次のブランチがありません。
     [HKCUControl PanelPowerCfgPowerPolicies] 
  • 現在のユーザーのアカウント名は次のとおりです。
    ユーザー名
    
    
    
    ユーザー
    
    
    
    コンピュータネーム
    
    
    
    現在の使用者
    
    
    
    
  • 以下のライブラリがワームのアドレス空間にロードされます:
     SbieDll.dll
    
    
    
    dbghelp.dll
    
    
    
    api_log.dll
    
    
    
    dir_watch.dll
    
    
    
    pstorec.dll
    
    
    
    
  • ワームの元のファイルは次のようにシステムに保存されました:
    
    
    
    c:file.exe 

    プロセス「EXPLORER.EXE」を介して悪質なコードを注入した後、以下のアクションが実行されます。

  • プロセスがシステム内で一意であることを保証するために、一意の識別子が作成されます。
  • 感染したシステムへのアクセスを提供するために、次の名前付きパイプが作成されます。
     .piperrreokdirjiururrr 
  • 悪意のあるユーザーのサーバーへの接続が確立されます。
    
    
    
    ディ***インド
    
    
    
    ant *** tition.com
    
    
    
    fre *** unge.com
    
    
    
    

    ワームは、悪意のあるユーザーによるコマンドに続いて、感染したコンピュータ上で次の操作を実行できます。

    • 指定したサーバーでDoS攻撃を構成します。
    • 送信されたリンクからファイルをダウンロードします。ダウンロードしたファイルは、現在のユーザーの一時ファイルディレクトリ "%Temp%"にランダムな名前で保存されます。
    • 悪意のあるユーザーのサーバーから更新されたバージョンのワームをダウンロードします。
    • これらのブラウザの設定ファイルを分析する:
      
      
      
      Mozilla Firefox
      
      
      
      インターネットエクスプローラ
      
      
      
      グーグルクローム
      
      
      
      オペラ
      
      
      
      

      その中に保存されているパスワードを盗むためです。

    • ブラウザのCookieを盗み、変更する。これを行うために、このワームはブラウザMozilla Firefoxに組み込まれた "sqlite"モジュールを使用します。
    • 「インストール」セクションおよび「伝播」セクションで説明されているアクション。ワームは、以下のタイプのメッセージを介して、悪意のあるユーザーのサーバーとのやり取りを行います。
      
      
      
      スキャンが停止しました
      
      
      
      スキャン実行中
      
      
      
      スキャン開始
      
      
      
      送信されたKBデータ:<number>
      
      
      
      送信されたSYNパケット:<number>
      
      
      
      洪水
      
      
      
      フラッドが停止しました:<文字列>
      
      
      
      フラッディング:<文字列>
      
      
      
      感染したドライブ:<string>
      
      
      
      USBスプレッダー実行中
      
      
      
      P2Pコピー先:<文字列>
      
      
      
      MSNスプレッダー実行中
      
      
      
      MSNスプレッド開始、リンク:<string> MSNリンク送信
      
      
      
      
    • 悪質なユーザからのコマンドによって、 "hosts"ファイルを置き換えることもできます:
       %System%driversetchosts 

      執筆時点では、悪意のあるユーザーのサーバーは応答していませんでした。


オリジナルへのリンク