テクニカルサポート > Virus Information Center > 2005年公開情報リスト > Win32.Alemod.I
Win32.Alemod.I
| 情報公開日 |
2005/09/28 |
| 最終更新日 |
2005/09/28 |
以下は、このウイルスについての詳細情報です。
|
 |
|
|
| タイプ: |
トロイの木馬 |
| カテゴリ: |
Win32 |
| または: |
Win32/Alemod, TROJ_ALEMOD.I (Trend), Win32/Alemod.I!DLL!Trojan, Trojan.Desktophijack.B (Symantec), Trojan.Win32.Small.ev (Kaspersky) |
|
説明
Win32.Alemod.Iは、「感染」したことを通知する虚偽のメッセージを表示し、「スパイウェア」スキャナと称するアプリケーションをダウンロードさせようとするトロイの木馬です。「感染」メッセージは、このアプリケーションをユーザにダウンロードさせることを意図したものです。UPXで圧縮された40,448バイトのWin32実行ファイルとして配信されます。弊社が受けている報告では、Win32.Alemod.Iの実行ファイルはloader37.exe、loader52.exe、loader54.exeというファイル名で配信されています。
感染方法
Win32.Alemod.Iは、実行されると「oleext.dll」を%System%ディレクトリに埋め込み、最終更新日時をシステムファイルwininet.dllのものと同じに設定します。次に、%System%\wininet.dllを%System%\oleext32.dllにコピーしてwininet.dllのコピーに感染します。これにより、そのDLLを使用して送信されるHTTP要求はすべてWin32.Alemodのコンポーネントであるoleext.dllに受け渡されるようにします。
トロイの木馬はさらに、まったくウィンドウを表示させることなくInternet Explorerのインスタンスを実行し、「oleext.dll」を読み込むコードをInternet Explorerプロセスのメモリスペースへ挿入します。これによって、ユーザからトロイの木馬の存在を隠匿することが可能になります。
注:「%System%」は可変ロケーションです。悪意のプログラムはオペレーティングシステムを検索し、現行のSystemフォルダのロケーションを調べます。 Systemディレクトリのデフォルトインストール先は、Windows 2000およびNTではC:\Winnt\System32、95/98/MEではC:\Windows\System、XPではC:\Windows\System32になります。
Win32.Alemod.Iは、「%System%\intel32.exe」というファイルを埋め込み、実行させます。これによって、システムトレイに赤い警告アイコンが表示されます。このファイルは、CAアンチウイルス製品によってWin32.Spudrag.Cとして検出されます。
さらに、Windows起動時にこのファイルが実行されるよう、レジストリを改変します。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\intel32.exe = "%System%\intel32.exe"
Win32.Alemod.Iはまた、wppp.htmlを%System%ディレクトリに埋め込み、レジストリを改変することでこれをデスクトップの背景として設定します。さらに、正当なものに見せかけるため、デスクトップの背景色を適切な黒色に設定します。
HKCU\Control Panel\Desktop\Wallpaper = "%System%\wppp.html"
HKCU\Control Panel\Colors\Background = "0 0 0"
HKCU\Control Panel\Desktop\WallpaperStyle = "2"
HKCU\Control Panel\Desktop\TileWallpaper = "0"
ユーザが赤色の警告アイコン、あるいは壁紙上の「Click here」を左クリックすると、Win32.Alemodはユーザのデフォルトのインターネットブラウザを起動させ、「http://www.psguard.com/?******&sub=0」というページを表示させます。
*注:上記のURLには、修正を加えてあります。
Win32.Alemod.IのDLLは、自身のコピーが複数ロードされることを防ぐため、「OLEADMUTEX」というmutexを使用します。
トップに戻る
ペイロード
HTTP要求の監視
コンポーネント「oleext.dll」は、HTTP要求の内容を読み込み、以下の3ドメインのうちの1つに重要な情報をすべて転送します。
ecjnoe3inwe.com
fjrewcer32.com
dkjfwekjnc4.com
また、ドメイン「alfaportal.com」に接続し、新たな感染に成功したことをプログラム作成者に通知します。
システム設定の変更
Win32.Alemodは、以下のレジストリキーを設定して、保護されているファイルの名前変更を可能にします。
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AllowProtectedRenames = 0x1
次に、システムファイル「%Windows%\wininit.ini」を改変して、感染している「wininet.dll (oleext32.dll)」と実際の「wininet.dll」を入れ替えます。
Win32.Alemod.Iは次に、アンインストールファイル「uninstIU.exe」を%Windows%ディレクトリに埋め込みます。これが実行されると、デスクトップポリシーが削除されますが、HTTP要求は引き続き監視されます。
Win32.Alemodは、以下のレジストリ変更をおこなうことで、自身を「プログラムの追加と削除」ダイアログにこのアンインストーラを「Internet Update」として追加します。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\Display Name = "Internet Update"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\UninstallString = "uninstIU.exe"
以下のレジストリキーを追加して、ユーザがデスクトップの壁紙を変更できないようにします(「画面のプロパティ」ダイアログから「テーマ」「デスクトップ」「デザイン」タブを削除します)。
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges = 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage = 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage = 0x1
注:%Windows%は可変ロケーションです。この悪意のプログラムは、オペレーティングシステムを検索し、現行のWindowsフォルダのロケーションを調べます。Windowsディレクトリのデフォルトインストール先は、Windows 2000およびNTではC:\Winnt、95/98/MEではC:\Windows、XPではC:\Windowsになっています。
システムの復元機能を無効にする
Win32.Alemodは、stmgr.exeプロセスを終了させ、これに関連するレジストリ エントリを削除しようとします。
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\*StateMgr
注: stmgr.exeは、Windows MEオペレーティング システムのコンポーネントです。 このプロセスは、Windowのシステム ディレクトリの整合性を監視/検証するためのものです。
任意のファイルのダウンロードおよび実行
Win32.Alemod.IのDLLは、ファイル「PSGuardInstall.exe」を、ユーザの%Temp%ディレクトリにダウンロードし、これを実行させます。
注: %Temp%は可変ロケーションであり、一時ファイルのためのディレクトリを指します。この悪意のプログラムはオペレーティングシステムを検索し、現行のTempフォルダのロケーションを調べます。このフォルダのパスは、通常、C:\Documents and Settings\<ユーザ名>\Local Settings\TempまたはC:\WINDOWS\TEMPです。
デスクトップの改変
トロイの木馬は、「ptainfo1.ico」および「ptainfo2.ico」というアイコンを%System%ディレクトリに埋め込み、「Download Movies.url」および「Download Music.url」というリンクを「%Profiles%\Desktop」フォルダに埋め込みます。これによって、以下のWebリンクがデスクトップ上に表示されます。
これらのリンクをダブルクリックすると、「ptinfo.com」ドメインへ誘導されます。
注:%Profile%は可変ロケーションであり、ユーザのProfileフォルダを指します。悪意のプログラムはオペレーティングシステムを検索し、現行のProfileフォルダのロケーションを調べます。このフォルダのロケーションは通常、C:\Documents and Settings\<ユーザ名>です。
ファイルおよびレジストリ エントリを削除する
Win32.Alemodは、ファイル%Windows%\screen.htmlが存在する場合にこれを削除し、以下のレジストリ値を削除します。
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Intel system tool
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AntivirusGold
トップに戻る
補足情報
トロイの木馬は、以下のレジストリキーを作成し、そこにいくつかの値を保存します。
HKCR\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}
Analysis by Amir Fouda
駆除手順
eTrust Antivirus 6x/v7* (InoculateIT Engine)
駆除手順
シグネチャ:
駆除手順: 最新のeTrust Antivirusシグネチャファイルをダウンロードおよび適用します。eTrust Antivirusのローカルスキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータシステムでフルスキャンを実行します。
これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください
Windows MEおよびXPをご使用の場合はこちらをご覧ください
ご注意: これらのシグネチャ番号(およびそれ以上)を使用することで、ウイルスから保護することができます。現在ダウンロード可能なシグネチャファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。
eTrust Antivirus 6x/v7* (Vet Engine)
駆除手順
シグネチャ:
駆除手順: 最新のeTrust Antivirusシグネチャファイルをダウンロードおよび適用します。eTrust Antivirusのローカルスキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータシステムでフルスキャンを実行します。
これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください。
Windows MEおよびXPをご使用の場合はこちらをご覧ください
ご注意:
これらのシグネチャ番号(およびそれ以上)を使用することで、ウイルスから保護することができます。現在ダウンロード可能なシグネチャファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。
* InoculateIT および eTrust InoculateIT 6.0 に対する更新を含みます。
|
