テクニカルサポート > Virus
Information Center > 2007年公開情報リスト > Win32/Cutwail.M
Win32/Cutwail.M
説明
Win32/Cutwail.Mは、システムのwinlogon.exeファイルを改変するRootkit機能を持つトロイの木馬です。トロイの木馬は、任意のファイルをディスクに保存する、または、他のプロセスに埋め込むことで、任意のファイルをダウンロードおよび実行するために使用される場合があります。本情報公開時点で、これらのファイルは迷惑メールを送信する、およびCutwailを最新の亜種にアップデートするために使用されています。
トップに戻る
感染方法
Cutwail.Mは、%Windows%\System32\main.sysにデバイスドライバファイルを埋め込み、以下のレジストリエントリを生成します。
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Start = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\Type = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ErrorControl = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\EXAMPLE\ImagePath = "\??\%Windows%\System32\main.sys"
完了すると、オリジナルのドロッパ ファイルは削除されます。
システムが再起動されると、main.sysドライバ ファイルはさらに%Windows%\System32\wsys.dllに埋め込みます。また、システムファイル%Windows%\System32\winlogon.exeを改変し、削除します。
winlogon.exeが改変されたことにより、ユーザがログインした場合は必ず、通常のwinlogon.exeコードが実行される前に、wsys.dllのファンクションの1つを呼び出します。この呼び出しにより、さらにファイルが%Temp%\imapi.exeに埋め込まれ、実行されます。
違うファイル名が使用されますが、Cutwail.Mがimapi.exeと同じ実行ファイルとして配信される場合があるのでご注意ください。Cutwail.Mは引き続き上述の自身のインストール中に(同一ではない)類似する動作を行い、最新のCutwailの亜種をインストールすることができますが、この場合、インストールはこの時点から開始されます。
imapi.exeは、2つのファイルを%Windows%\System32\driversディレクトリに埋め込みます。1つはサービスとしてip6fw.sysまたはnetdtect.sysという名前でインストールされ、サービス名は、それぞれ、Ip6FwまたはNetDetectとなります。もう1つのファイルは、runtime.sysという名前で、デバイス ドライバとしてカーネル メモリにロードされます。
ロード中に、以下のレジストリ エントリが生成されます。
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\Start = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\Type = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\ErrorControl = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\Runtime\ImagePath = "\??\%Windows%\System32\drivers\runtime.sys"
また、Internet Explorerプロセスにコードを埋め込みます。このコードはダウンローダで、以下のペイロードセクションに説明があります。imapi.exeの実行が完了すると、削除されますが、次回ログイン時に再度埋め込まれ、wsys.dllにより実行されます。
注:
- 「%Windows%」は可変ロケーションです。この悪意のプログラムは、オペレーティングシステムを検索し、現行のWindowsフォルダのロケーションを調べます。Windowsディレクトリのデフォルト インストール先は、Windows 2000およびNTではC:\Winnt、95/98/MEではC:\Windows、XPおよびVistaではC:\Windowsになっています。
- %Temp%は可変ロケーションであり、一時ファイルのためのディレクトリを指します。この悪意のプログラムはオペレーティングシステムを検索し、現行のTempフォルダのロケーションを調べます。このフォルダのパスは、通常、C:\Documents and Settings\<ユーザ名>\Local Settings\TempまたはC:\WINDOWS\TEMPです。
トップに戻る
ペイロード
任意のファイルのダウンロードおよび実行
Cutwail.Mは、以下の3つのサーバのいずれかにさまざまなパラメータを送信し、ファイルのダウンロードを試みます。
- 66.246.252.213
- 67.18.114.98
- 208.66.194.221
ファイルのダウンロードに失敗すると、このリストの別サーバを使用して、ダウンロードを試みます。
ダウンロードされたファイルには、1つまたは複数のエンコードされた実行ファイルが含まれている場合があります。それぞれの実行ファイルは %Temp%/<number>.exeに保存され実行される、または、ディスクに書き込みをしないで、新規のInternet Explorerプロセスに埋め込まれるかのいずれかを行います。前者の場合、<number>の値は最後にシステムが再起動されてからの時間により決定され、.sysファイルの値とは違うと考えられています。(上述の感染方法のセクションに記載されています。)
本情報公開時点で、一般的にCutwail,Mは最新のCutwailの亜種をダウンロード、保存、実行します。また、保存せずに実行ファイルを3つまで埋め込みます。これらのファイルは、大量の電子メールを送信することを可能にしました。この動作については、下記に記載されていますが、ダウンロードされる内容の変更に伴い、変更になることが考えられます。
大量に電子メールを送信する
実行ファイルは%Profile%ディレクトリ内のファイルおよびすべてのサブディレクトリから電子メールアドレスを収集します。以下の拡張子を持つファイルを検索します。
.txt
.adb
.asp
.dbx
.eml
.fpt
.htm
.inb
.mbx
.php
.pmr
.sht
.tbb
.wab
収集されたアドレスはC:\as.txtに保存され、208.66.195.169に送信されます。
2番目の実行ファイルは216.195.58.17サーバに接続します。サーバは、Webサーバのリスト、検索パラメータおよびその他の詳細情報を返します。このリストにある多くのサーバは接続され、リストから任意の検索パラメータ値を提供されます。この結果は、電子メールの件名およびメッセージ本文の生成に使用されると考えられています。
3番目の実行ファイルは、208.66.195.162サーバに接続します。これにより電子メール受信者のリストおよび他の電子メールパラメータが提供されます。これらの受信者に対して、電子メールの送信を試みます。
注:%Profile%は可変ロケーションであり、ユーザのProfileフォルダを指します。悪意のプログラムはオペレーティング システムを検索し、現行のProfileフォルダのロケーションを調べます。このフォルダのロケーションは通常、C:\Documents and Settings\<ユーザ名>です。
Rootkit機能
Cutwail,MのRootkit機能は、セキュリティおよび監視プログラムに検出され、レジストリ改変を避けるためのものと考えられています。また、実行プロセスのリストを監視します。
Analysis by David Wood
| このセキュリティ脅威は、最新のシグネチャ更新で検出されました。 |
|
|
|
