Trojan.Vundo

Trojan.Vundo はアドウェアプログラムのコンポーネントで、ポップアップ広告をダウンロードして表示します。これは、スパム 電子メール内に含まれている Web サイトリンクにアクセスすることでインストールされることが分かっています。 Trojan.Vundo は、次のコンポーネントから構成されています。 「Microsoft Internet Explorer に、不正な IFRAME リモートバッファオーバーフローの脆弱性（BID 11515http://www.symantec.com/ja/jp/business/security_response/vulnerability.jsp?bid=11515）」を悪用する HTML コードダウンローダーコンポーネントアドウェアアドウェアにインストールされた DLL モジュール 「Microsoft Internet Explorer に、不正な IFRAME リモートバッファオーバーフローの脆弱性（BID 11515http://www.symantec.com/ja/jp/business/security_response/vulnerability.jsp?bid=11515） 」を悪用し次のドメインから C:\bla.exe ファイルをダウンロードし、実行しようと試みる HTML コード http://83.149.86.132/minst.exe 上記ファイルはこのトロイの木馬のダウンローダーコンポーネントです。 「Microsoft Internet Explorer に、不正な IFRAME リモートバッファオーバーフローの脆弱性（BID 11515http://www.symantec.com/ja/jp/business/security_response/vulnerability.jsp?bid=11515）」 が悪用されたときに、仮想メモリーが機能低下する可能性があります。 一度実行されるとこのトロイの木馬は、次の文字列から構成されるファイル名を持つ 1 個の .exe ファイルを作成します。 abr av anti ac acc ad ap as bin bas bak cab cat cmd com cr c drv db disk dll dns dos doc dvd eula exp fax font ftp hard iis img inet info ip java kb key lib log main ms mc mfc mp3 msvc net nut odbc ole pc ps play ras reg run sys srv svr svc s tapi tcp task un url util vb vga vss xml wave web w win wms その後上記のファイルを、次のフォルダに保存し実行する可能性があります。 %Windir%\addins%Windir%\AppPatch %Windir%\assembly %Windir%\Config %Windir%\Cursors %Windir%\Driver Cache%Windir%\Drivers%Windir%\Fonts %Windir%\Help %Windir%\inf %Windir%\java %Windir%\Microsoft.NET %Windir%\msagent %Windir%\Registration %Windir%\repair %Windir%\security %Windir%\ServicePackFiles %Windir%\Speech %Windir%\system %Windir%\system32 %Windir%\Tasks %Windir%\Web %Windir%\Windows Update Setup Files%Windir%\Microsoft その後次のレジストリエントリを削除します。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\"*MS Setup" 次のレジストリエントリを作成します。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\"*WinLogon" = "[トロイの木馬のフルパスのファイル名] ren time:[ランダムな数]"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID\"[デフォルト値]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID\"[デフォルト値]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\"*[トロイの木馬のファイル名]" = "[トロイの木馬のフルパスのファイル名] rerun" その後、次のレジストリサブキーを作成します。 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Active StateHKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22E85F2A-4A67-4835-B2C3-C575FE4EC322}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.ADOUsefulNetHKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.ADOUsefulNet.1HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22E85F2A-4A67-4835-B2C3-C575FE4EC322}HKEY_CLASSES_ROOT\CLSID\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPCUpdaterHKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPCUpdater.1HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60} このトロイの木馬は、"rerun" のパラメータで実行され、通常モードでシステムが起動された場合にのみ、次のレジストリエントリを作成します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"*[トロイの木馬のファイル名]" = "[トロイの木馬のフルパスのファイル名]" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0612F71E-934B-4D92-B8E8-2E29EA78EB03}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEpl.IEplHKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEpl.IEPl.1\CLSIDHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0612F71E-934B-4D92-B8E8-2E29EA78EB03}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\serviceHKEY_USERS\S-1-5-21-1328679652-1783376204-1452689933-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0612F71E-934B-4D92-B8E8-2E29EA78EB03} システムがセーフモードで開始された場合、このトロイの木馬は自分自身を終了しその後パラメータを使用せずに自分自身を再起動します。 その後次のドメインからファイルをダウンロードして実行しようとします。 http://62.4.84.41/mmdom.exe 上記のファイルは DLL コンポーネントが埋め込まれたアドウェアのモジュールです。 次に埋め込まれた DLL を次のファイルとして投下します。 %Temp%\[逆向きのトロイの木馬のファイル名].dat 埋め込まれた DLL をいくつかの実行中のプロセスのアドレススペース内に挿入します。 また次のテンポラリファイルを作成します。 [逆向きのトロイの木馬のファイル名].bak1[逆向きのトロイの木馬のファイル名].bak2[逆向きのトロイの木馬のファイル名].ini このトロイの木馬は侵入先のコンピュータ上で広告を表示します。 アドウェアの実行停止を検出した場合には、アドウェアのコンポーネントを再び開始します。 トロイの木馬のファイル名が変更された場合には、「システム」と「隠しファイル」属性が設定されたオリジナルのファイルを再度作成します。 次の URL リストを保存するようです。また HTTP リクエストを次のいずれかの IP アドレスへ送信しようと試みる可能性があります 62.4.84.5362.4.84.56 また次のファイルを投下する可能性があります。 %ProgramFiles%\system32\vundo.dll

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
• 1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
• パスワードポリシーの徹底。 複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
• 予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。 また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。

危険性の評価