1. Symantec/
  2. セキュリティレスポンス/
  3. W32.Bugbear@mm
  4. W32.Bugbear@mm
  • ブックマーク

W32.Bugbear@mm

危険度2: 低

発見日:
2002 年 9 月 30 日
更新日:
2007 年 2 月 13 日 11:41:46 AM
別名:
W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure]
種別:
Worm
感染サイズ:
50,688 バイト
影響を受けるシステム:
Windows
CVE 識別番号:
CVE-2001-0154

W32.Bugbear@mm が実行されると、次のことを行います。

自分自身を C:\%System%\????.exe としてコピーします。ファイル名の中の ? 部分にはワームによって選択された文字が入ります。


注意: %system% は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。システムフォルダは、標準では、C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、 C:\Windows\System32 (Windows XP) です。


ワームはスタートアップフォルダに自分自身を ???.exe としてコピーします。ファイル名の中の?部分にはワームによって選択された文字が入ります。例えば:
  • ワームが Windows 95/98/Me システム上で実行された場合、自分自身を C:\WINDOWS\Start Menu\Programs\Startup\Cuu.EXE としてコピーします。
  • ワームが Windows NT/2000/XP システム上で実行された場合、自分自身を C:\Documents and Settings\<現在のユーザ名>\Start Menu\Programs\Startup\Cti.EXE としてコピーします。

ワームは %system% フォルダに 3 つの暗号化された .dll ファイルを、また%windir% フォルダに 2 つの暗号化された .dat ファイルをそれぞれ作成します。作成されるファイルのうち 1 つには、バックドア・コンポーネントとの接続を確立するために必要なパスワードが含まれています。また別の .dll ファイルの 1 つは、ワームがフック・プロシージャをフックチェーンにインストールしてキーボードやマウスのメッセージを監視する目的で使用されます。キーボードのフックプロシージャはメッセージを処理し、フック情報を現在のフックチェーン内の次のフック・プロシージャに渡します。インストールされる .dll のファイルサイズは 5,632 バイトです。シマンテックのウイルス対策製品はそのファイルを PWS.Hooker.Trojan として検出します。下図は、このファイルの実行メカニズムの一例を示しています。



傍受されるキーストローク情報には、ログインの詳細情報、パスワード、クレジットカード番号などの可能性があります。以後、その情報がセキュアなチャンネル経由で暗号化された状態で転送された場合でも、傍受されたキーストローク情報はハッカーの手に渡る可能性があります。

シマンテックのウイルス対策製品では検出されないファイルは無害です。ワームはそれらのファイルを内部構成情報を暗号化して保存するために使用します。コンピュータが W32.Bugbear@mm に感染した場合、これらのファイルを手動で削除してください。以下はワームが作成するファイルの一例です。
  • %system%\Iccyoa.dll
  • %system%\Lgguqaa.dll
  • %system%\Roomuaa.dll
  • %windir%\Okkqsa.dat
  • %windir%\Ussiwa.dat


注意: %Windir% は可変です。このワームは \Windowsフォルダ(標準では C:\Windowsまたは C:\Winnt) を探し出し、その場所にファイルを作成します。


ワームは次の値を

<ランダムな文字> <ワームのファイル名>

次のレジストリキーに作成します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce


注意: 通常、システム起動時にこれらの値が参照しているプログラムが起動するとすぐに、このキーに登録されている値はすべてオペレーティングシステムによって自動的に削除されます。その場合、ワームは値を再度作成することで、Windows 起動時に毎回、自分自身が起動されるように設定します。


このワームは 4 つのメインスレッドを作成します。1 つ目のスレッドは、30 秒ごとに活性化し、次のうち動作中のプロセスを停止させます。
  • Zonealarm.exe
  • Wfindv32.exe
  • Webscanx.exe
  • Vsstat.exe
  • Vshwin32.exe
  • Vsecomr.exe
  • Vscan40.exe
  • Vettray.exe
  • Vet95.exe
  • Tds2-Nt.exe
  • Tds2-98.exe
  • Tca.exe
  • Tbscan.exe
  • Sweep95.exe
  • Sphinx.exe
  • Smc.exe
  • Serv95.exe
  • Scrscan.exe
  • Scanpm.exe
  • Scan95.exe
  • Scan32.exe
  • Safeweb.exe
  • Rescue.exe
  • Rav7win.exe
  • Rav7.exe
  • Persfw.exe
  • Pcfwallicon.exe
  • Pccwin98.exe
  • Pavw.exe
  • Pavsched.exe
  • Pavcl.exe
  • Padmin.exe
  • Outpost.exe
  • Nvc95.exe
  • Nupgrade.exe
  • Normist.exe
  • Nmain.exe
  • Nisum.exe
  • Navwnt.exe
  • Navw32.exe
  • Navnt.exe
  • Navlu32.exe
  • Navapw32.exe
  • N32scanw.exe
  • Mpftray.exe
  • Moolive.exe
  • Luall.exe
  • Lookout.exe
  • Lockdown2000.exe
  • Jedi.exe
  • Iomon98.exe
  • Iface.exe
  • Icsuppnt.exe
  • Icsupp95.exe
  • Icmon.exe
  • Icloadnt.exe
  • Icload95.exe
  • Ibmavsp.exe
  • Ibmasn.exe
  • Iamserv.exe
  • Iamapp.exe
  • Frw.exe
  • Fprot.exe
  • Fp-Win.exe
  • Findviru.exe
  • F-Stopw.exe
  • F-Prot95.exe
  • F-Prot.exe
  • F-Agnt95.exe
  • Espwatch.exe
  • Esafe.exe
  • Ecengine.exe
  • Dvp95_0.exe
  • Dvp95.exe
  • Cleaner3.exe
  • Cleaner.exe
  • Claw95cf.exe
  • Claw95.exe
  • Cfinet32.exe
  • Cfinet.exe
  • Cfiaudit.exe
  • Cfiadmin.exe
  • Blackice.exe
  • Blackd.exe
  • Avwupd32.exe
  • Avwin95.exe
  • Avsched32.exe
  • Avpupd.exe
  • Avptc32.exe
  • Avpm.exe
  • Avpdos32.exe
  • Avpcc.exe
  • Avp32.exe
  • Avp.exe
  • Avnt.exe
  • Avkserv.exe
  • Avgctrl.exe
  • Ave32.exe
  • Avconsol.exe
  • Autodown.exe
  • Apvxdwin.exe
  • Anti-Trojan.exe
  • Ackwin32.exe
  • _Avpm.exe
  • _Avpcc.exe
  • _Avp32.exe

ワームはどのバージョンの OS が動作しているかを判断し、そのバージョンによって異なるルーチンを使用します。

2 つ目のスレッドは、大量メール送信処理を行います。このスレッドは現在受信トレイに保存されているメールアドレスと、次の拡張子を持つファイルに含まれているメールアドレスを探します。
  • .mmf
  • .nch
  • .mbx
  • .eml
  • .tbb
  • .dbx
  • .ocs

ワームは次のレジストリキーから現在のユーザのメールアドレスと SMTP サーバーを取り出します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts

次に、ワームは発見したメールアドレスに独自の SMTP エンジンを使って自分自身をメールで送信します。このワームは、感染したコンピュータから取得した情報をもとにメールの[差出人]欄に表示するアドレスを作成する能力も持っています。例えば、感染先のコンピュータ上で a@a.com、 b@b.com、c@c.com というメールアドレスを発見した場合、ワームは a@a.com 宛ての電子メールを作成し、差出人フィールドに表示されるアドレスを詐称して、そのメールが c@b.com から届いたものに見えるようにする可能性があります。詐称されるアドレスには、システム上で発見した有効なメールアドレスが使用される可能性もあります。

メール件名には、次のリストからいずれかが選択されます。また、ワームは感染先システム上にある既存のメッセージに対する返信あるいは転送メールを新たに作成し、そのメールにワームファイルを添付して送信する可能性があります。
  • Greets!
  • Get 8 FREE issues - no risk!
  • Hi!
  • Your News Alert
  • $150 FREE Bonus!
  • Re:
  • Your Gift
  • New bonus in your cash account
  • Tools For Your Online Business
  • Daily Email Reminder
  • News
  • free shipping!
  • its easy
  • Warning!
  • SCAM alert!!!
  • Sponsors needed
  • new reading
  • CALL FOR INFORMATION!
  • 25 merchants and rising
  • Cows
  • My eBay ads
  • empty account
  • Market Update Report
  • click on this!
  • fantastic
  • wow!
  • bad news
  • Lost & Found
  • New Contests
  • Today Only
  • Get a FREE gift!
  • Membership Confirmation
  • Report
  • Please Help...
  • Stats
  • I need help about script!!!
  • Interesting...
  • Introduction
  • various
  • Announcement
  • history screen
  • Correction of errors
  • Just a reminder
  • Payment notices
  • hmm..
  • update
  • Hello!

ワームは、次のレジストリキーの Personal 値の内容を調べ、

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

その場所(標準では、Windows 95/98/Me上では C:\My Documents、Windows NT/2000/XP上では C:\Documents and Settings\<ユーザ名>\My Documents)に保存されているファイルを列挙します。このようにして取得したファイル名は、ワームの添付ファイル名を作成するときに使用される可能性があります。また、添付されるファイル名は次のいずれかの単語で構成されることがあります。
  • readme
  • Setup
  • Card
  • Docs
  • news
  • image
  • images
  • pics
  • resume
  • photo
  • video
  • music
  • song
  • data

ファイル名の拡張子は、次のいずれかになります。
  • .scr
  • .pif
  • .exe

My Documents フォルダから取り出したファイル名を使用する場合、 ワームはメッセージの contents type をそのファイルの拡張子に合うように変更します。以下は、そのとき解析される拡張子のリストです。
  • .reg
  • .ini
  • .bat
  • .diz
  • .txt
  • .cpp
  • .html
  • .htm
  • .jpeg
  • .jpg
  • .gif
  • .cpl
  • .dll
  • .vxd
  • .sys
  • .com
  • .exe
  • .bmp

作成されるメッセージの content type は次のいずれかに変更されます。
  • text/html
  • text/plain
  • application/octet-stream
  • image/jpeg
  • image/gif

ワームが作成するメールは、脆弱なシステム上で添付ファイルが自動的に実行されるようにするために「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」という脆弱性を利用してもしなくても作成されます。この脆弱性についての詳しい情報は下記のページをご覧ください。

http://www.microsoft.com/JAPAN/technet/security/bulletin/MS01-020.asp

3 つ目のスレッドは、バックドア・ルーチンです。このスレッドは port 36794 を開き、ハッカーからの指令を待機します。ハッカーがコマンドを送信することにより、ワームに実行させることが可能な操作は以下のとおりです。
  • ファイルの削除
  • プロセスの停止
  • プロセスのリストを作成し、ハッカーへ送信
  • ファイルのコピー
  • プロセスの起動
  • ファイルのリストを作成を作成し、ハッカーへ送信
  • 傍受したキーストロークのログをハッカーに送信(暗号化した形で)。その結果、コンピュータに入力された秘匿情報(パスワード、ログイン情報など)が漏洩するおそれがあります。
  • システム情報を次の形式でハッカーへ送信

    • ユーザ: <ユーザ名>
    • プロセッサ: <使用されているプロセッサの種類>
    • Windows バージョン: <Windowsのバージョン、ビルド番号>
    • メモリ情報 : <使用可能なメモリサイズなど>
    • ローカルドライブとそのタイプ (固定/リムーバブル/RAM ディスク/CD-ROM/リモート等), およびその物理的な特徴

  • ネットワーク資源とその種類のリストを作成し、ハッカーへ送信

オペレーティングシステムが Windows 95/98/Me の場合、ワームはローカルコンピュータ上にキャッシュされているパスワード情報を入手しようとします。キャッシュされているパスワードにはモデムおよびダイアルアップ接続パスワード、 URL パスワード、共有パスワードなどがあります。この操作は WNetEnumCachedPasswords という、 Windows95/98/Me バージョンの Mpr.dll ファイルにのみ存在する非公式の関数を使って行われます。

このワームのバックドア・コンポーネントは、認証パスワード、コマンド、(必要な場合のみ)コマンド・パラメータの順に入力されたコマンドのみを受け付けます。例えば、"i"コマンドはパラメータを必要としません。以下は、"i"コマンドを実行した場合の返信例です。

Server: '<ISCHIA>'
User: 'Ischia'
Processor: I586
Win32 on Windows 95 v4.10 build 1998
-
Memory: 127M in use: 50% Page file: 1920M free: 1878M
C:\ - Fixed Sec/Clust: 64 Byts/Sec: 512, Bytes free: 2147155968/2147155968
D:\ - CD-ROM

Network:
unknow cont (null) (Microsoft Network)
unknow cont (null) (Microsoft Family Logon)

"h" コマンドはポート番号をパラメータとして含んでいます。このコマンドは、バックドア・コンポーネントにそのポートを開き、HTTP Get リクエスト形式で転送されるコマンドを待機させます。リクエストを受け取ると、バックドア・コンポーネントはそれを解析し、処理した後、その結果を HTML 形式のページとして返します。これは、ハッカーが侵入先コンピュータの資源を簡単に閲覧するための手段となっています。例えば、"Ischia"という名前のコンピュータにバックドアがインストールされている場合、そのコンピュータの情報がリモートから次のように表示されるおそれがあります。





リモート側のユーザは、ファイルを侵入先コンピュータにファイルをアップロードすることができます。リモート側のユーザが上図のような画面上でテキストファイルをクリックした場合、その内容がブラウザウィンドウに表示されます。あるいは、ブラウザウィンドウからファイルをダウンロードしてそれを関連付けられているアプリケーションで開くこともできます。

4 つ目のワームスレッドはネットワークに渡って増殖活動を行います。ワームはまず、ネットワーク内にあるすべての資源を列挙します。オープンになっている administrator 共有を発見すると、自分自身をリモートコンピュータの Startup フォルダにコピーしようとします。その結果、ネットワークに接続しているコンピュータが再起動されたときに、それらのコンピュータすべてに感染してしまうことになります。


このワームはネットワーク資源のタイプを正しく処理しないため、結果的に共有プリンタの資源を溢れさせ、無意味なデータが印刷されたり、共有プリンタが正常に動作しなくなるおそれがあります。

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

  • ファイアウォールを利用して、一般に公開されていないサービスへのインターネット経由による接続をすべてブロックします。原則として、明示的に外部に提供したいサービスへの接続を除いては、すべての着信接続を拒否してください。
  • パスワードポリシーを徹底させます。強固なパスワードは、侵害されたコンピュータ上のパスワードファイルの解読を困難にします。これにより、攻撃による被害を回避、または最小限に抑えることができます。
  • コンピュータのユーザーとプログラムには、タスクの実行に必要な最小レベルの権限を付与します。ルートまたは UAC パスワードの入力が要求されたときは、管理者レベルのアクセスを要求するプログラムが正規のアプリケーションであることを確認してください。
  • 自動実行機能を無効にして、ネットワークドライブやリムーバブルドライブ上の実行可能ファイルの自動実行を阻止し、ドライブの接続が不要なときは切断してください。書き込みアクセスが不要な場合は、読み取り専用モードのオプションが利用可能であれば有効にします。
  • ファイル共有が不要な場合は、設定を解除してください。ファイル共有が必要な場合は、ACL とパスワード保護機能を使用してアクセスを制限します。共有フォルダへの匿名アクセスを無効にし、強固なパスワードが設定されたユーザーアカウントにのみ共有フォルダへのアクセスを許可します。
  • 不要なサービスは、停止するか削除します。オペレーティングシステムによって、特に必要のない補助的なサービスがインストールされることがあります。このようなサービスは攻撃手段として悪用される可能性があるため、不要なサービスを削除することによって、攻撃の危険性を軽減できます。
  • ネットワークサービスの脆弱性が悪用されている場合は、修正プログラムを適用するまでそれらのサービスを無効にするか、サービスへのアクセスをブロックしてください。
  • 常に最新の修正プログラムを適用するようにしてください。公開サービスのホストコンピュータや、 HTTP、FTP、メール、DNS サービスなど、ファイアウォール経由でアクセス可能なコンピュータでは特に注意が必要です。
  • .vbs、.bat、.exe、.pif、.scr などの拡張子を持つファイルは、脅威の拡散に頻繁に使用されるため、それらのファイルが添付されたメールをブロックまたは削除するようにメールサーバーを設定します。
  • ネットワークに接続しているコンピュータが感染した場合は、直ちにネットワークから切断して感染拡大を防止します。被害状況を分析し、信頼できるメディアを使って復元します。
  • 予期しない添付ファイルは開かないようにしてください。インターネットからダウンロードしたソフトウェアは、ウイルススキャンを実行して安全であることを確認してから実行します。ブラウザの脆弱性に対応した修正プログラムが適用されていない場合、侵害された Web サイトにアクセスするだけで感染することがあります。
  • 携帯デバイスで Bluetooth が不要な場合は、オフにしてください。必要な場合は、他の Bluetooth デバイスにスキャンされないように、表示属性を「Hidden」に設定します。 デバイスのペアリング機能を使用する必要がある場合は、すべてのデバイスが、接続時にユーザー認証を必要とする「Unauthorized」に設定されていることを確認してください。署名されていない、または未知のソースから送信されたアプリケーションは利用しないでください。
  • この文書で使用されている用語の詳細については、用語解説を参照してください。
記述:Yana Liu
危険性の評価| テクニカルノート| 駆除方法
スパムレポート
2016 年インターネットセキュリティ脅威レポート第 21 号
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube