Worm/Nanspy.D - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Nanspy.D
発見日：	07/10/2005
タイプ	ワーム
感染報告有り	いいえ
感染報告	低
感染の可能性	中
ダメージ・ポテンシャル	低～中
スタティック・ファイル	はい
ファイル・サイズ	34.368 バイト
MD5　チェックサム	3BDA9B1A7B39CD7DDF978A7084A298A5
VDFファージョン：	6.30.0.235

一般情報 感染方法
   • ローカル・ネットワーク

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • 特定のウェブサイトへのアクセスを無効にします。
   • 悪意ファイルをダウンロードします。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。

ファイルそれ自体を以下の場所にコピーします。
   • %SYSDIR%\mmsvc32.exe

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://web.**********.com/bbot.exe
ハードディスクの以下のパスにセーヴされます： %SYSDIR%\bbot.exe ダウンロードが終了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： BDS/Nanspy.C

– 場所は以下の通りです：
   • http://nnpy.**********.com/lipscr2.php
   • http://www.**********.com/sdata.txt
   • http://nnpyev.**********.com/wad/nnpy.txt
   • http://nnpytmp.**********.com/nnpyk2.php?action=knock

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Network Services Controller"="%SYSDIR%\mmsvc32.exe"

以下のレジストリ・キーの値が消えています：

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft IIS
   • PayTime
   • lp3mr1sh

ネットワーク感染感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します：
– MS03-026 (RPC インターフェイスのバッファオーバーランによりコードが実行される)

IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。

感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにFTPスクリプトを作成します。
ダウンロードしたファイルは、侵入先のマシンに以下の名前で保存されます： %システム・ドライブ・ルート%\mmf32.exe

ホストホストファイルは以下のように改変されます：

– この場合、存在する登録情報は削除されます。

– 以下のドメインへのアクセスは違う行先に変更されています。
   • lloydstsb.co.uk; online.lloydstsb.co.uk; www.lloydstsb.co.uk;
      www.lloydstsb.com; personal.barclays.co.uk; barclays.co.uk;
      ibank.barclays.co.uk; www.barclays.co.uk; www.nwolb.com; nwolb.com;
      hsbc.co.uk; www.hsbc.co.uk; abbey.com; www.abbey.com; www.abbey.co.uk;
      abbey.co.uk; cahoot.com; www.cahoot.com; www.cahoot.co.uk;
      cahoot.co.uk; www.co-operativebank.co.uk; co-operativebank.co.uk;
      www.co-operativebank.com; co-operativebank.com;
      welcome2.co-operativebankonline.co.uk;
      welcome6.co-operativebankonline.co.uk;
      welcome8.co-operativebankonline.co.uk;
      welcome10.co-operativebankonline.co.uk; www.smile.co.uk; smile.co.uk;
      www.cajamar.es; cajamar.es; www.cajamar.com; www.unicaja.es;
      unicaja.es; www.unicaja.com; unicaja.com; www.caixagalicia.es;
      caixagalicia.es; www.caixagalicia.com; caixagalicia.com;
      activa.caixagalicia.es; www.caixapenedes.es; caixapenedes.es;
      www.caixapenedes.com; caixapenedes.com; bancae.caixapenedes.com;
      www.caixasabadell.es; caixasabadell.es; www.caixasabadell.net;
      caixasabadell.net; www.cajamadrid.es; cajamadrid.es;
      www.cajamadrid.com; cajamadrid.com; oi.cajamadrid.es; www.ccm.es;
      ccm.es; www.haspa.de; haspa.de; ssl2.haspa.de; www.dresdner-bank.de;
      dresdner-bank.de; www.dresdner-privat.de; postbank.de;
      www.postbank.de; banking.postbank.de; www.sparda-b.de; sparda-b.de;
      www.bankingonline.de; www.raiffeisenbank-erding.de;
      raiffeisenbank-erding.de; www.vr-networld-ebanking.de;
      vr-networld-ebanking.de; www.bnhof.de; bnhof.de; www.deutsche-bank.de;
      deutsche-bank.de; meine.deutsche-bank.de; www.citibank.de;
      citibank.de; cipehb13.cdg.citibank.de; www.dkb.de; dkb.de;
      www.sparkasse-regensburg.de; sparkasse-regensburg.de;
      www.berliner-bank.de; berliner-bank.de; www.berliner-sparkasse.de;
      berliner-sparkasse.de

改変されたホストファイルの外見は以下のようになります。

プロセス中断以下のプロセスは終了されます：
   • ftp.exe
   • tftp.exe
   • nh.exe
   • nethost.exe
   • syshost.exe
   • ppc.exe
   • paytime.exe
   • lp3mr1sh.exe
   • tibs.exe

ファイルの詳細 プログラム言語:
このマルウェアプログラムはDelphi(デルファイ)で書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX

簡単な説明はココにあります。.

この説明は Andrei Gherman によって Mon, 10 Oct 2005 07:25 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Wed, 12 Oct 2005 16:34 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back