Win32.Palored.A

別名 Trojan-Downloader.Win32.Murlo.a (Kaspersky) カテゴリ Win32 タイプ トロイの木馬 文書公開日 01/26/,2005 最終更新日 01/21/2005

被害 : 破壊 : 感染 :

特徴

Win32.Palored.Aは、任意のファイルをダウンロードし、実行するトロイの木馬です。

感染方法

Win32.Palored.Aは実行されると、現行ユーザのアプリケーション データのデフォルト ロケーションが含まれている、以下のレジストリ値のデータをチェックします。

HKCU\Software\Microsoft\Windows\CurrentVersion\AppData

デフォルトのシステムでは、以下のようになります。

HKCU\Software\Microsoft\Windows\CurrentVersion\AppData = "C:\Documents and Settings\<Username>\Application Data"

次に、以下のレジストリ キーのサブ キーを読み取り、インストールされたプログラムのロケーションを調べます。

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall

Win32.Palored.Aは、次に、それらのプログラムから無作為に1つを選択し、自身のDLLをそのプログラムのディレクトリに埋め込みます。 ファイル名は、システム上の他のファイルから取得、または、任意の文字列から生成、あるいは、その両方を組み合わせて、無作為に作成します。

トロイの木馬は、そのファイルがexplorer.exeによってロードされるよう、以下のレジストリ キーを生成します。

HKLM\Software\Classes\CLSID\<randomly generated id>\InProcServer32\ThreadingModel = Apartment
HKLM\Software\Classes\CLSID\<randomly generated id>\InProcServer32\InProcServer32\(Default) = <location of dropped dll id>file>
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\<program name> = "<CLSID>"

<randomly generated id>は、以下の文字列と同様の形式になります。
例

{2D515619-D7B9-3B79-22E8-826E72BBB8D9}

Win32.Palored.Aは、暗号化されたデータを保存するためのレジストリ値を、以下のように作成します。

HKLM\Software\Microsoft\IE Setup\Setup\key1 = 0x1001DB0
HKLM\Software\Microsoft\IE Setup\Setup\key2
HKLM\Software\Microsoft\IE Setup\Setup\key3

その後、rundll32.exeを使ってDLLファイルをロードします。

また、トロイの木馬は、感染マシン上に以下のmutexを生成します。

M_DllMainTool32
M_PreloadTool32

ペイロード

Win32.Palored.Aの主な目的は、リモートのロケーションからファイルをダウンロードして、実行することです。 ロケーションは、以下のいずれかのサーバからのHTTP応答によって決まります。

サーバのドメイン
bssociety.com
koolvalue.com
www.megachop.ru
jggavin.com
convolutionreverbs.com
niksoftware.ru
ekabocreation.com
bigba.com
jirehcleartoclose.com
autonips.com
eatmydata.com
healthandwealthplus.com
kreuzeder.net
virtualexecassist.com
themomshop.com
ecargoplus.com
sockets.ru
islandcleaning.com
casaichosting.com
desertshieldfunding.com
mixmarketing.ru
jdataworks.com
xxxhoe.com
atlantacaster.com
jollytoys.net
crutop.ru
vmkdesign.com
minilov.com
vodouspirit.com

ファイルは、%Windows%\temp\<任意の名前>.exeにダウンロードされ、その後、そこから実行されます。

注： 「%System%」および「%Windows%」は可変ロケーションです。 トロイの木馬はオペレーティング システムを検索し、これらフォルダのロケーションを調べます。 Systemディレクトリのデフォルト インストール先は、Windows 2000およびNTではC:\Winnt\System32、95/98/MEではC:\Windows\System、XPではC:\Windows\System32になっています。Windowsディレクトリのデフォルト インストール先は、Windows 2000およびNTではC:\Winnt、95/98/MEではC:\Windows、XPではC:\Windowsになっています。

Win32.Palored.Aは、以下のファイルを削除します。

• C:\Documents and Settings\qwe.hta
• %System%\cm.exe

注： Win32.Palored.Aは、ユーザが、以下のようなInternet Explorerの脆弱性を利用しようとする、悪意のあるWebページを閲覧する際、システムに不正にアクセスする可能性があります。

・  HTML.MHTMLRedir!exploit

・  HTML.HelpControl!exploit

Win32.Palored.Aが削除する上記のファイルは、脆弱性を悪用する過程で生成された可能性があります。

Analysis by Paul Taylor

駆除手順

eTrust Antivirus 6x/v7* (InoculateIT Engine)
駆除手順

シグネチャ：11.x/8864

駆除手順: 最新のeTrust Antivirusシグネチャ ファイルをダウンロードおよび適用します。 eTrust Antivirusのローカル スキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータ システムでフルスキャンを実行します。

これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください。

Windows MEおよびXPをご使用の場合はこちらをご覧ください

ご注意： これらのシグネチャ番号（およびそれ以上）を使用することで、ウイルスから保護することができます。 現在ダウンロード可能なシグネチャ ファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。

eTrust Antivirus 6x/v7* (Vet Engine)
駆除手順

シグネチャ：6.1x/6006

駆除手順: 最新のeTrust Antivirusシグネチャ ファイルをダウンロードおよび適用します。 eTrust Antivirusのローカル スキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータ システムでフルスキャンを実行します。

これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください。

Windows MEおよびXPをご使用の場合はこちらをご覧ください

ご注意： これらのシグネチャ番号（およびそれ以上）を使用することで、ウイルスから保護することができます。 現在ダウンロード可能なシグネチャ ファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。

対応シグネチャ/エンジン情報

＊ InoculateITおよびeTrust InoculateIT 6.0のアップデートも含む。