Backdoor.Nemog.B

危険度 1: ほとんど影響なし

ドキュメントを印刷する

発見日: 2004 年 9 月 9 日

更新日: 2007 年 2 月 13 日 12:35:21 PM

種別: トロイの木馬

影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Backdoor.Nemog.B が実行されると、次のことを行います。

次のファイルを作成します。

%System%\dx32cxlp.exe
%System%\dx32cxel.sys
dx32cxel というサービスを作成するために次のレジストリキーを作成し、

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dx32cxel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DX32CXEL

Windows の起動時に必ずトロイの木馬が実行されるように設定します。
複数の API をフックしたり、API の呼び出しに対して NULL を返したりすることによって、上述のサービスとファイルを隠します。
次のサーバにコンタクトを取ります。
- 62.241.53.2:4242
- 211.233.41.235:4661
- 81.23.250.167:4242
- 193.19.227.24:4661
- 66.98.192.99:3306
- 207.44.222.47:4661
- 213.158.119.104:4661
- 207.44.206.27:4661
- 62.241.53.4:4242
- 216.127.94.107:4661
- 67.15.18.45:3306
- 62.241.53.15:4242
- 64.246.54.12:3306
- 62.241.53.16:4242
- 211.214.161.107:4661
- 67.15.18.57:3306
- 66.98.144.100:4242
- 69.50.187.210:4661
- 66.111.43.80:4242
- 212.199.125.36:8080
- 66.90.68.2:6565
- 62.241.53.17:4242
- 69.50.228.50:4646
- 81.23.250.169:4242
- 69.57.132.8:4661
- 64.246.18.98:4661
- 218.78.211.62:4661
- 207.44.142.33:4242
- 64.246.16.11:4661
- 205.209.176.220:4661
- 80.64.179.46:4242
- 65.75.161.70:4661
ランダムに選択した TCP ポートを介してリモートのユーザからの電子メールをリレー配信します。またランダムに選択したもう 1 つの TCP ポートで HTTP プロキシサーバとして実行します。　
バックドアを介してリモートの攻撃者からのコマンドを待機し、次のことを実行します。
- 自分自身のアンインストール
- 自分自身の更新
- ファイルのダウンロード
%System%\DRIVERS\ETC\HOSTS ファイルを次の文字列で上書きすることによって、複数のセキュリティ関連 Web サイトへのアクセスを阻止します。
- 127.0.0.1 www.avp.com
- 127.0.0.1 www.viruslist.com
- 127.0.0.1 viruslist.com
- 127.0.0.1 www.symantec.com
- 127.0.0.1 networkassociates.com
- 127.0.0.1 secure.nai.com
- 127.0.0.1 downloads1.kaspersky-labs.com
- 127.0.0.1 downloads2.kaspersky-labs.com
- 127.0.0.1 downloads3.kaspersky-labs.com
- 127.0.0.1 downloads4.kaspersky-labs.com
- 127.0.0.1 downloads-us1.kaspersky-labs.com
- 127.0.0.1 downloads-eu1.kaspersky-labs.com
- 127.0.0.1 kaspersky-labs.com
- 127.0.0.1 www.networkassociates.com
- 127.0.0.1 us.mcafee.com
- 127.0.0.1 f-secure.com
- 127.0.0.1 avp.com
- 127.0.0.1 www.sophos.com
- 127.0.0.1 sophos.com
- 127.0.0.1 www.ca.com
- 127.0.0.1 ca.com
- 127.0.0.1 securityresponse.symantec.com
- 127.0.0.1 symantec.com
- 127.0.0.1 mast.mcafee.com
- 127.0.0.1 my-etrust.com
- 127.0.0.1 www.kaspersky.com
- 127.0.0.1 www.f-secure.com
- 127.0.0.1 dispatch.mcafee.com
- 127.0.0.1 update.symantec.com
- 127.0.0.1 nai.com
- 127.0.0.1 www.nai.com
- 127.0.0.1 liveupdate.symantec.com
- 127.0.0.1 customer.symantec.com
- 127.0.0.1 rads.mcafee.com
- 127.0.0.1 trendmicro.com
- 127.0.0.1 liveupdate.symantecliveupdate.com
- 127.0.0.1 www.mcafee.com
- 127.0.0.1 mcafee.com
- 127.0.0.1 viruslist.com
- 127.0.0.1 www.my-etrust.com
- 127.0.0.1 download.mcafee.com
- 127.0.0.1 updates.symantec.com
- 127.0.0.1 kaspersky.com
- 127.0.0.1 www.trendmicro.com

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
パスワードポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。

記述: Kaoru Hayashi

駆除方法

危険性の評価