Win32/Gamarue WORM_GAMARUE ワーム型ウイルス ボットネット [メモ]
 
圧縮ファイル解凍後に下のような添付ファイルが出現する英語表記の迷惑メール(スパムメール)が着弾するする。 <ファイルの拡張子が *.exe や *.scr になってる!
 
イメージ 2
 
MD5 cee8b295bcd78785d24e75f2d553850f
 
イメージ 1
 
MD5 07b1a2b0f0a836e02f9dacdbbdb3e2f5
Andromeda C&C 208.115.105.39
http://arunews[.]ru/forum/adm[.]php
 
 
セキュリティ会社の一般的な検出名はGamarueでしょうか。
 
 
攻撃者側から見ると Andromeda という遠隔操作ウイルス作成キットとしてブラックマーケットで販売されてる商品(管理画面の画像)であり、このウイルスに乗っ取られたWindowsパソコンの集団はボットネットとして活動することになります。
  • Worm:Win32/Gamarue (Microsoft)
  • TROJ_GAMARUE WORM_GAMARUE (Trend Micro)

Win32/Gamarue (Microsoft Malware Protection Center)
http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Gamarue

◆ ファイル&レジストリ
> %ALLUSERSPROFILE%\[ランダム文字列].exe
具体的には C:\ProgramData\[ランダム文字列].exe みたいな感じ

イメージ 3
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
名前 → [ランダム数値]
値のデータ → ファイルパス ( C:\PROGRA~2\[ランダム文字列].exe など )
 
◆ Gamarue ウイルスの感染手口
 
http://www.microsoft.com/security/portal/images/worm_sized.png
1台の感染マシンから拡散する重要な役割を果たすUSBメモリ
(画像出典 Microsoft Malware Protection Center
 
【1】 ネットサーフィン中にドライブバイ・ダウンロード攻撃による強制インストール
【2】 英語表記のスパムメールに添付された実行ファイル(画像に偽装)の自爆感染
【3】 他のマルウェアがダウンロードしてきてインストールする

【4】 USBメモリ由来 (自動実行オートラン型 & ショートカットファイル型
 
USBメモリのオートラン機能は、2011年にWindows XP/Vista 向けにWindows Update経由で無効化パッチが配信済みで、Windows 7/8 はUSBメモリのオートラン機能自体が実装されてません。