テクニカルサポート > Virus
Information Center > 2007年公開情報リスト > Win32/Lightmoon.M
Win32/Lightmoon.M
| 情報公開日 |
2007/03/22 |
| 最終更新日 |
2007/03/23 |
|
 |
|
|
| タイプ: |
ワーム |
| カテゴリ: |
Win32 |
| 別名: |
W32.Lunalight@mm (Symantec), Email-Worm.Win32.VB.co (Kaspersky) |
|
説明
Win32/Lightmoon.Mは、電子メールおよびネットワーク共有経由で増殖するワームです。 MD5マッチングなどの検出方法を回避するために複写する場合、ワームはPEヘッダに若干の変更を加えます。
感染方法
ワームは実行されると、感染マシン上に自身のコピーを多数作成し、いくつかの追加コンポーネントファイルを埋め込みます。以下のコピーを生成します。
- %Windows%\lsass.exe
- %Windows%\<任意の7文字>.exe (このファイル形式の異なったファイル名で自身のコピーを3つ作成します。)
- %System%\<任意の7文字>\<任意の7文字>.cmd
- %System%\<任意の14文字>.exe
注:「%System%」および「%Windows%」は可変ロケーションです。悪意のプログラムはオペレーティングシステムを検索し、これらフォルダのロケーションを調べます。 Systemディレクトリのデフォルトインストール先は、Windows 2000およびNTではC:\Winnt\System32、95/98/MEではC:\Windows\System、XPではC:\Windows\System32になっています。Windowsディレクトリのデフォルトインストール先は、Windows 2000およびNTではC:\Winnt、95/98/MEではC:\Windows、XPおよびVistaではC:\Windowsになっています。
また、以下のファイルを作成します。
- %Windows%\cypreg.dll
- %Windows%\moonlight.dll
- %System%\systear.dll - 任意のファイル名を保存ために使用されるデータファイル
Recycle Binの属性を持つフォルダがワームのコピーを保存するために生成されます。
- %Windows%\<任意の7文字>.{645FF040-5081-101B-9F08-00AA002F954E}\service.exe
- %Windows%\<任意の7文字>.{645FF040-5081-101B-9F08-00AA002F954E}\winlogon.exe
- %Windows%\<任意の7文字>.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe
- %Windows%\<任意の7文字>.{645FF040-5081-101B-9F08-00AA002F954E}\regedit.cmd
- %Windows%\<任意の7文字>.{645FF040-5081-101B-9F08-00AA002F954E}\smss.exe
- %Windows%\<任意の7文字>.{645FF040-5081-101B-9F08-00AA002F954E}\<任意の7文字>.com
- %Windows%\<任意の7文字>.{645FF040-5081-101B-9F08-00AA002F954E}\<任意の7文字>.exe
- %Windows%\<任意の7文字>.{645FF040-5081-101B-9F08-00AA002F954E}\MYpIC.zip
ワームが確実に実行されるように以下のレジストリの改変が行われます。
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\LOAD = ""%Windows%\<任意の7文字>.{645FF040-5081-101B-9F08-00AA002F954E}\<任意の7文字>.com""
HKCU\Software\Microsoft\Windows\CurrentVersion\RUN\<任意の8文字> = "%System%\<任意の14文字>.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe, "%Windows%\<任意の7文字>.{645FF040-5081-101B-9F08-00AA002F954E}\<任意の7文字>.exe""
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell = "<任意の14文字>l.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\debugger = "%Windows%\<任意の7文字>.{645FF040-5081-101B-9F08-00AA002F954E}\regedit.cmd"
HKLM\Software\Microsoft\Windows\CurrentVersion\RUN\<任意の6文字> = "%Windows%\<任意の7文字>.exe"
また、ワームはMy Documentsの下のそれぞれのサブフォルダに自身のコピーを生成し、生成されたサブフォルダ名と同じ名前を使用します。以下はその例です。
- \Documents and Settings\<ユーザ>My Documents\My Pictures\My Pictures.exe
- \Documents and Settings\<ユーザ>\My Documents\My Music\My Music.exe
ワームは、さらに複製に重要ではないレジストリの改変を行います。
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = 0
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue = 0
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig = 1
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR = 1
HKCR\exefile\(Default) SUCCESS "File Folder"
HKCR\scrfile\(Default) SUCCESS "File Folder"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\debugger = "%Windows%\notepad.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\debugger = "%Windows%\notepad.exe"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 0
ワームは、File Folderアイコンを使用します。
10個のワームのコピーは、ZIPファイルに圧縮され、感染システム上に存在します。そのZIPファイルに挿入されるファイル名は、以下から選択されます。
RealPlayer13-5GOLD.exe
Icon Cool-Editor 3.4.30315.exe
CheatEngine52.exe
framework-4.4.exe
Vista Transformation Pack 4.0.exe
Pack_Vista_Inspirat_1.6.exe
DeepUnfreezerU1.6.exe
Pack_Longhorn_Inspirat_1.6_code32547.exe
TeamViewer_Setup.exe
License.exe
トップに戻る
配信方法
電子メール経由
ワームは、さまざまな件名およびメッセージ本文を含んだ電子メールの添付ファイルとして増殖します。また、添付ファイルの名前や拡張子も一定ではありません。
ワームが送信する電子メールには以下の特徴があります。
件名の例
miss Indonesian
Cek This
hello
Japannes Porn
xxx
メッセージ本文の例
hey Indonesian porn
Agnes Monica pic's
Fucking With Me :D
sisilia
Hilda
please read again what i have written to you
Hot ...
添付ファイルは、ZIP形式で圧縮されており、その中には以下のリストのいずれかのファイル名を持つ1つの実行ファイルが含まれています。
Licence.exe
Pictures.exe
Secret.exe
Documents.exe
Vivid.exe
update.exe
XXX.exe
cool.exe
vitae.exe
error.exe
ZIPファイルの名前は、以下のリストから選択した文字列、その後に続く任意の文字列から構成されています。
Miyabi
nadine
hell
video
Doc
file
thisfile
need you
「nadine 8517814.zip」は、ファイル名の例です。
以下は、Win32/Lightmooon.Mによって生成された電子メールメッセージの例です。
ワームは、すべてのローカルの固定ドライブ上のファイルを検索し、自身を送信するために電子メールアドレスを収集します。以下の拡張子を持つファイルを検索します。
txt
tml
asp
php
rtf
eml
.pl
spx
.js
以下の文字列を含むアドレスは使用しません。
security
avira
norman
norton
panda
mcafee
Syman
sophos
Trend
vaksin
novell
virus
マップドライブ経由
ワームのコピーは、すべてのマップドライブ、ドライブ上に存在するZIPファイルのルートに以下のファイル名のいずれかを使用して書き込まれます。
RealPlayer13-5GOLD.exe
Icon Cool-Editor 3.4.30315.exe
CheatEngine52.exe
framework-4.4.exe
Vista Transformation Pack 4.0.exe
Pack_Vista_Inspirat_1.6.exe
DeepUnfreezerU1.6.exe
Pack_Longhorn_Inspirat_1.6_code32547.exe
TeamViewer_Setup.exe
ネットワーク共有経由
ワームのコピーは、すべてのサブフォルダにサブフォルダ名をファイル名として、感染マシンのユーザが書き込みアクセスを持つすべてのネットワーク共有上で書き込まれます。例えば、\MyDocs, \Mydocs\MyDocs.exeのターゲットサブディレクトリが生成されます。
Windowsディレクトリを含むネットワーク共有が存在する場合、ワームは、サブディレクトリ「moon」をネットワーク共有のルートの外に生成します。次に2つのファイルを生成します。
「Elitta.htt」を実行させるために、Desktop.iniが改変され「moonlint.exe」が実行されます。
トップに戻る
ペイロード
ワームが次のアクションをする前に、http://www.google.com/を確認し、感染システムがInternetアクセスできるかどうか調べます。
サービスを削除する
ワームはこれらのNTサービスを削除します。(これらのサービスは、Norman Virus Controlのコンポーネントです。)
nipsvc
Norman NJeeves
nvcoas
Norman Zanda
レジストリ値の削除
ワームは、「HKCU\Software\Microsoft\Windows\CurrentVersion\run」および「HKLM\Software\Microsoft\Windows\CurrentVersion\run」から以下のレジストリ値を削除します。
ADie suka kamu
AllMyBallance
Alumni Smansa
AutoSupervisor
avgnt
BabelPath
Bron-Spizaetus
CueX44_stil_here
dago
dkernel
DllHost
Driver
drv_st_key
Grogotix
lexplorer
MomentEverComes
MSMSG
norman zanda
norman_zanda
Pluto
Putri_Bangka
Putri_Indonesia
SaTRio ADie X
service
SMA_nya_Artika
SMAN1_Pangkalpinang
SysDiaz
SysRia
SysYuni
Task
templog
Tok-Cirrhatus
TryingToSpeak
ViriSetup
Winamp
winfix
WinUpdateSupervisor
Word
YourUnintended
YourUnintendes
トップに戻る
補足情報
ワーム電子メールを生成するプロセス中に、MIME形式でエンコードされたZIPファイルのコピー、「64enc.en」がWindowsディレクトリに生成されます。
ワームは、「msvbvm60.dll」のコピーを生成し、コピーされたファイルの2バイトをオフセット0x71で変更します。
テキストファイル「MooNlight.R.txt」がWindowsディレクトリに生成され、以下のメッセージを含んでいます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
|Dev!l.Inc|
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
I-WorM.LunaLIGHT.d Aliase W32/MoonLight.R@mm
CopyRight @ HellSpawn a.K.a B4bb1CooL
Once In The Blue Moon
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Analysis by Sha-Li Hsieh
駆除手順
eTrust Antivirus 6x/v7* (InoculateIT Engine)
駆除手順
シグネチャ:
駆除手順: 最新のeTrust Antivirusシグネチャ ファイルをダウンロードおよび適用します。
eTrust Antivirusのローカル スキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータ
システムでフルスキャンを実行します。
これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください。
Windows
MEおよびXPをご使用の場合はこちらをご覧ください
ご注意: これらのシグネチャ番号(およびそれ以上)を使用することで、ウイルスから保護することができます。 現在ダウンロード可能なシグネチャ
ファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。
eTrust Antivirus 6x/v7* (Vet Engine)
駆除手順
シグネチャ:
駆除手順: 最新のeTrust Antivirusシグネチャ ファイルをダウンロードおよび適用します。 eTrust
Antivirusのローカル スキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータ
システムでフルスキャンを実行します。
これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください。
Windows
MEおよびXPをご使用の場合はこちらをご覧ください
ご注意: これらのシグネチャ番号(およびそれ以上)を使用することで、ウイルスから保護することができます。 現在ダウンロード可能なシグネチャ
ファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。
| CA Antivirus 2007 |
30.6.3496 |
上記の駆除手順を参照 |
| eTrust Antivirus v7/8* |
30.6.3496 |
上記の駆除手順を参照 |
| eTrust EZ Antivirus 7.x |
7.x/3496 |
|
| Vet 7 |
30.6.3496 |
|
| |
|
|
|
|
|
