発見日: January 19, 2010
更新日: March 12, 2015 7:37:13 AM
種別: Virus
感染サイズ: 10,240 バイト
影響を受けるシステム: Windows
CVE 識別番号: CVE-2013-1493 | CVE-2010-2568 | CVE-2013-0422

W32.Ramnit は、リムーバブルドライブを介して拡散するワームです。このワームはバックドアとしても動作して、リモートの攻撃者が侵入先のコンピュータにアクセスできるようにします。

感染
この脅威は、リムーバブルドライブ、公開 FTP サーバーにある感染ファイル、正規の Web サイトやソーシャルメディアで悪質な広告を介して提供されるエクスプロイトキットを介して拡散し、不要と思われるアプリケーションにバンドルされています。

この脅威は自分自身を拡散させるため、EXE、DLL、HTM、HTML ファイルに感染して、リムーバブルドライブや固定ドライブに自分自身のコピーを作成します。

機能

この脅威の主要機能は、侵入先のコンピュータから情報を盗み取ることです。次の操作を実行できるさまざまなモジュールをダウンロードすることによってこれを行います。

  • cookie を盗み取り、バンキングやソーシャルメディアの Web サイトのオンラインセッションをハイジャックするこの脅威は侵入先のコンピュータのブラウザから cookie を盗み取り、アーカイブファイルに保存し、C&C サーバーに送信します。
  • 多数の FTP クライアントからログイン資格情報を盗み取る
  • オンラインバンキングの Web サイトを含め、標的のコンピュータで頻繁にアクセスされる Web サイトを監視する標的のコンピュータが特定のサイトにアクセスしていることを確認すると、この脅威は MITB (man-in-the-browser) として動作し、Web ページにコードを挿入します。続いて、通常はログインで要求されない機密情報を入力するようにユーザーに要求します。攻撃者はこの情報を利用して、標的となった被害者のクレジットカードや銀行口座にアクセスすることができます。
  • 侵入先のコンピュータへ攻撃者がリモートアクセスできるようにする
  • 侵入先のコンピュータからファイルを盗み取るこの脅威はスキャンを実行して、ログイン資格情報を含む可能性がある特定のフォルダやファイルを探し、見つかったらアーカイブにして C&C サーバーに送信します。
  • 侵入先のコンピュータに攻撃者がリモートで接続して、匿名 FTP サーバを介してファイルシステムを閲覧できるようにするFTP サーバーにより、攻撃者がファイルのアップロード、ダウンロード、削除、コマンドの実行をできるようにします。
この脅威はまた、インストーラのコピーをコンピュータのファイルシステムに作成して、自分自身のコピーをメモリに保存します。これにより、侵入先のコンピュータでウイルス対策ソフトウェアによってこの脅威が検出され駆除や隔離された場合でも、この脅威はファイルシステムに再び投下され再度実行されます。

また、バックドアを開いて C&C サーバーに接続して命令を受けとり、侵入先のコンピュータから情報を盗み取るために使用するモジュールを要求します。受け取ることができる命令には、スクリーンショットの撮影、cookies のアップロード、コンピュータに関する情報の収集、コンピュータが起動できないようにするためのルートレジストリキーの削除が含まれます。

地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。




シマンテックの保護対策サマリー
この脅威ファミリーに対しては、次のシマンテック検出名で保護が提供されます。

ウイルス対策:
IPS:

ウイルス対策日

  • Rapid Release 初回バージョン January 19, 2010 リビジョン 040
  • Rapid Release 最新バージョン August 13, 2018 リビジョン 034
  • Daily Certified 初回バージョン January 19, 2010 リビジョン 051
  • Daily Certified 最新バージョン August 06, 2018 リビジョン 009
  • Weekly Certified 初回リリース日 January 20, 2010

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

発見日: January 19, 2010
更新日: March 12, 2015 7:37:13 AM
種別: Virus
感染サイズ: 10,240 バイト
影響を受けるシステム: Windows
CVE 識別番号: CVE-2013-1493 | CVE-2010-2568 | CVE-2013-0422

1. 防御と回避
1.1 ユーザーの対処と予防策
1.2 オペレーティングシステムとソフトウェアへのパッチの適用
2. 感染方法
2.1 リムーバブルドライブ
2.2 リモートから悪用可能な脆弱性
2.3 ファイル感染
2.4 ファイル転送プロトコルの公開サーバー
2.5 不要と思われるアプリケーション
3. 機能
3.1 システムの変更
3.2 ネットワーク関連操作
3.3 その他の機能
4. 追加情報




1. 防御と回避
この脅威によるリスクを回避または最小限にするために、次のアクションを実行してください。


1.1 ユーザーの対処と予防策
この脅威は、リムーバブルドライブを介して拡散するため、リムーバブルドライブをコンピュータに接続する際に注意が必要です。この脅威は Windows の自動実行機能を使用して拡散することができます。セキュリティ対策として、この機能を無効にする と、リムーバブルデバイスがコンピュータに挿入されても実行されないようにできます。また、最新バージョンの Windows や特定の更新プログラムを適用したコンピュータでは、デフォルトで非光学式リムーバブルドライブの自動実行機能が無効になっていることに注意してください。

リムーバブルドライブは、使用しないときは切断し、書き込みアクセスが不要なときは、読み取り専用モードのオプションを利用できる場合はそれを有効にします。

リンクや広告が信頼できるソースからのものか不明な場合は、クリックしないようにします。Web ブラウザでは通常、リンクの上にマウスを重ねるとリンク先が表示されます。また、safeweb.norton などのオンライン Web サイト評価サービスを利用して、そのサイトの安全性を確認することもできます。

提供元が不明なプログラムは、コンピュータにインストールしないようにします。他のアプリケーションにバンドルされたファイルには注意して、内容が不明な場合はインストールしないようにします。


1.2 オペレーティングシステムとソフトウェアへのパッチの適用
攻撃者は、悪質な広告や侵害されたサイトでホストされるエクスプロイトキットを介して脅威を拡散することが確認されています。これらのキットは、コンピュータのソフトウェアのバグを利用してマルウェアをインストールするように設計されています。オペレーティングシステムとソフトウェアを最新の状態に保つことで、エクスプロイトキットによる侵入を防止することができます。

可能であれば自動更新を有効にし、最新のパッチや更新プログラムが利用可能になったときにコンピュータに適用できるようにしておきます。



2. 感染方法
この脅威は、リムーバブルドライブ (USB キーやネットワーク共有)、公開 FTP サーバー、正規の Web サイトやソーシャルメディアで悪質な広告を介して提供されるエクスプロイトキットを介して拡散し、不要と思われるアプリケーションにバンドルされています。


2.1 リムーバブルドライブ
この脅威は自動実行機能を使用して拡散します。自動実行機能は Windows の機能の 1 つで、ドライブがアクセスされたときに自動的に実行可能ファイルが実行されるようにします。この脅威は、リムーバブルドライブに、自分自身と autorun.inf という名前の設定ファイルをコピーします。autorun.inf はシンプルなテキストファイルで、ファイルの表示方法と実行のオプションを指定する情報が含まれています。

この機能を無効にして、リムーバブルデバイスがコンピュータに挿入されたときに実行されないようにしておくことをお勧めします。最新バージョンの Windows や特定の更新プログラムを適用したコンピュータでは、デフォルトで非光学式リムーバブルドライブの自動実行機能が無効になっています。

この脅威は自分自身を拡散させるため、既存のリムーバブルドライブに次のファイルを作成する可能性があります。

  • %DriveLetter%\RECYCLER\[GUID]\[ランダムな文字].exe
  • %DriveLetter%\RECYCLER\[GUID]\[ランダムな文字].cpl
  • %DriveLetter%\autorun.inf
  • %DriveLetter%\Copy of Shortcut to (1).lnk
  • %DriveLetter%\Copy of Shortcut to (2).lnk
  • %DriveLetter%\Copy of Shortcut to (3).lnk
  • %DriveLetter%\Copy of Shortcut to (4).lnk


2.2 リモートから悪用可能な脆弱性
この脅威は、次の脆弱性を悪用することによって拡散する可能性があります。

攻撃者は、正規の Web サイトやソーシャルメディアで悪質な広告を介して悪用を試みる可能性があります。攻撃者は、悪質なコードを挿入してこれらのサイトの広告を侵害することにより、エクスプロイトキットをホストする別の Web ページに訪問者をリダイレクトする可能性があります。エクスプロイトキットはその後、コンピュータをチェックして潜在的に脆弱なプログラムを探して悪用しようとします。これにより、エクスプロイトキットがこの脅威をコンピュータに投下することができます。


2.3 ファイル感染
この脅威は次の種類のファイルに感染します。
  • .exe
  • .dll
  • .htm
  • .html

侵入先のコンピュータから感染したファイルが共有されている場合、この脅威は拡散する可能性があります。Web サーバーにある HTML ファイルが感染すると Web サーバーのユーザーに提供される場合があり、それによってこの脅威がさらに拡散する可能性があります。


2.4 ファイル転送プロトコルの公開サーバー

この脅威はまた、感染したファイルを侵入先のコンピュータで公開 FTP サーバーに置くことによって、他のコンピュータに拡散する可能性があります。


2.5 不要と思われるアプリケーション
この脅威は他のアプリケーションにバンドルされて届く可能性があります。



3. 機能
この脅威が実行されると、次の操作を実行する可能性があります。


3.1 システムの変更
この脅威によって侵害されたコンピュータでは、次の副次的な影響が確認される可能性があります。


作成されるファイル
この脅威は、侵入先のコンピュータに次のファイルを作成する可能性があります。
  • %UserProfile%\Start Menu\Programs\Startup\[ランダムな文字].exe
  • %UserProfile%\[ランダムな文字].log
  • %SystemDrive%\Program Files\[ランダムな文字]\[ランダムな文字].exe
  • %ProgramFiles%\MNetwork
  • %CurrentFolder%\[感染ファイル名]Srv.exe
  • %DriveLetter%\autorun.inf
  • %SystemDrive%\Documents and Settings\All Users\Application Data\[疑似ランダムの 8 文字].log
  • %UserProfile%\Application Data\[疑似ランダムの 8 文字].exe
  • %UserProfile%\Local Settings\Temp\[疑似ランダムの 8 文字].sys
  • %UserProfile%\Local Settings\Temp\[疑似ランダムの 8 文字].exe
  • %SystemDrive%\Documents and Settings\All Users\Application Data\[ランダムなファイル名].log


作成されるレジストリサブキーまたはレジストリエントリ
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc


削除されるレジストリサブキーまたはレジストリエントリ
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE
  • HKEY_LOCAL_MACHINE\SYSTEM
  • HKEY_LOCAL_MACHINE\HARDWARE
  • HKEY_CURRENT_USER\SOFTWARE


変更されたレジストリサブキー/エントリ
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%Windir%\system32\userinit.exe,,%SystemDrive%\Program Files\[ランダムな文字]\[ランダムな文字].exe"


MBR への感染
この脅威はまた、マスターブートレコード (MBR) に感染し、侵入先のコンピュータで存続できるようにします。これは、クリーンな MBR をディスクの末尾に移動してから元の MBR を悪質なもので上書きすることによって実行します。


3.2 ネットワーク関連操作
この脅威は Command and Control (C&C) サーバーによってリモートで制御される可能性があり、侵入先のコンピュータで他の操作を実行するさまざまなファイルをダウンロードしてインストールするように指示される可能性があります。


Command and Control サーバーへの接続
この脅威は、ドメイン名を生成するアルゴリズム (DGA) を使用して、(C&C) サーバーに接続するリモートドメインを多数生成します。この脅威が現時点で作成できるドメイン数は、内部にハードコードされているシード値ごとに 300 個までです。

以下は、この脅威によって生成されたドメインの例です。
  • rmnzerobased.com
  • awecerybtuitbyatr.com
  • awrcaverybrstuktdybstr.com
  • qwevrbyitntbyjdtyhvsdtrhr.com
  • yeiolertxwerh.com
  • ytioghfdghvcfgbgvdf.com

この脅威は侵入先のコンピュータでバックドアを開き、次のものを含めて約 21 個の命令を受け取れるようにします。
  • スクリーンショットを撮影する
  • cookie をアップロードする
  • コンピュータに関連する情報を収集する
  • ルートレジストリを削除して、コンピュータが起動できないようにする
  • モジュールとモジュールの一覧を要求する


FTP サーバー
この脅威は自身の FTP サーバーを利用して、TCP ポート 22 で命令と接続を待ち受けます。EXEC コマンドは、動作中の FTP サーバーを介して攻撃者がコマンドを実行できるようにします。攻撃者の FTP サーバーでは次のコマンドがサポートされています。
  • USER
  • PASS
  • CWD
  • CDUP
  • QUIT
  • PORT
  • PASV
  • TYPE
  • MODE
  • RETR
  • STOR
  • APPE
  • REST
  • RNFR
  • RNTO
  • ABOR
  • DELE
  • RMD
  • MKD
  • LIST
  • NLST
  • SYST
  • STAT
  • HELP
  • NOOP
  • SIZE
  • EXEC
  • PWD


VNC サーバー
この脅威はまた、侵入先のコンピュータで Virtual Network Computing (VNC) サーバーを実行する可能性があります。VNC サーバーは TCP ポート 23 で待ち受けるようにハードコードされていて、リモートの攻撃者が侵入先のコンピュータのデスクトップに認証なしでアクセスできるようにします。


3.3 追加機能


自己防御機能
この脅威は自分自身を保護するために監視プロセスを備えており、レジストリサブキーを繰り返し設定してセキュリティ設定を低下させて、存続のためのサブキーが有効であるようにします。この脅威はインストーラのコピーをメモリに保持して、この脅威のコピーがディスクに存在するかをチェックします。自分自身のコピーがディスクに存在しないことを確認すると、インストーラの新しいコピーをディスクに投下し起動して、再びコンピュータに感染します。


cookie の窃盗

この脅威は cookie を盗み取り、バンキングやソーシャルメディアの Web サイトのオンラインセッションをハイジャックする可能性があります。この脅威は侵入先のコンピュータのブラウザから cookie を盗み取り、アーカイブファイルに保存して C&C サーバーに送信します。この脅威は、Internet Explorer、Firefox、Opera、Flash、Safari、Chrome から cookie を盗み取る可能性があります。


ログイン資格情報の窃盗
この脅威は、Windows/Total commander、FlashXp、FtpCommander、SmartFtp を含む多数の FTP クライアントからログイン資格情報を盗み取る可能性があります。この脅威は、アプリケーションの設定ファイルとレジストリハイブをチェックすることによってこれを実行します。


MITB (man-in-the-browser)/webinjects
この脅威は、オンラインバンキングの Web サイトを含め、標的のコンピュータで頻繁にアクセスされる Web サイトを監視する可能性があります。標的のコンピュータが銀行など特定のサイトにアクセスしていることを確認すると、この脅威は MITB (man-in-the-browser) として動作し、Web ページにコードを挿入します。このコードは、通常のログイン手順では要求されない機密情報を入力するようにユーザーに要求します。ユーザーが入力したデータはすべて収集され攻撃者に送信されます。



攻撃者はこの情報を利用して、標的となった被害者のクレジットカードや銀行口座にアクセスすることができます。webinject では通常、銀行のログイン Web ページが改ざんされ、クレジットカードの詳細、生年月日、銀行カードの暗証番号までも要求される可能性があります。


ファイルの窃盗
また、侵入先のコンピュータからファイルを盗み取る可能性があります。この脅威はスキャンを実行して、ログイン資格情報を含む可能性がある特定のフォルダやファイルを探し、見つかったらアーカイブにして C&C サーバーに送信します。この脅威は、SHGetFolderPathA API と CSIDL_LOCAL_APPDATA を使用してフォルダパスの場所を確認することによってこれを実行します。続いて GetLogicalDriveStrings を使用して、侵入先のコンピュータで有効なドライブの詳細を探し、GetDriveType を介してドライブの種類を確認します。ドライブの種類が DRIVE_FIXED の場合にスキャンが実行されます。

以下は、この脅威が検索しようとするファイル名の形式の例です。
  • *wallet.dat
  • *pass*
  • *pass*.txt
  • *pass*.docx
  • *pass*.xlsx
  • *password*
  • *password*.txt
  • *password*.docx
  • *password*.xlsx
  • *passwords*.
  • *passwords*.txt
  • *passwords*.docx
  • *passwords*.xlsx



4. 追加情報
この脅威ファミリーについて詳しくは、次の文書を参照してください。

推奨する感染予防策

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

発見日: January 19, 2010
更新日: March 12, 2015 7:37:13 AM
種別: Virus
感染サイズ: 10,240 バイト
影響を受けるシステム: Windows
CVE 識別番号: CVE-2013-1493 | CVE-2010-2568 | CVE-2013-0422

お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。

次に進む前に、Symantec Full System Scan User Guide (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。



Norton (個人向け) 製品のお客様
お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

駆除ツール


感染した Windows システムファイルがある場合は、Windows のインストール CD を使ったファイルの置き換え が必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。


ビジネス (企業、法人向け) 製品のお客様
お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

疑わしいファイルの特定と提出
提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。


駆除ツール

感染した Windows システムファイルがある場合は、「How to use the Symantec Endpoint Recovery Tool to replace an infected file 」(英語) に記載の手順によるファイルの置き換えが必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。
セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止する



手動による駆除
以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。

1. システムの完全スキャンの実行
Symantec Full System Scan User Guide (英語)


2. レジストリの設定の復元
レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。