Win32/Gamarue WORM_GAMARUE ワーム型ウイルス ボットネット [メモ]
MD5 cee8b295bcd78785d24e75f2d553850f
MD5 07b1a2b0f0a836e02f9dacdbbdb3e2f5
Andromeda C&C 208.115.105.39
http://arunews[.]ru/forum/adm[.]php
セキュリティ会社の一般的な検出名はGamarueでしょうか。
攻撃者側から見ると Andromeda という遠隔操作ウイルス作成キットとしてブラックマーケットで販売されてる商品(管理画面の画像)であり、このウイルスに乗っ取られたWindowsパソコンの集団はボットネットとして活動することになります。
- Worm:Win32/Gamarue (Microsoft)
- TROJ_GAMARUE WORM_GAMARUE (Trend Micro)
Win32/Gamarue (Microsoft Malware Protection Center)
http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Gamarue
◆ ファイル&レジストリ
> %ALLUSERSPROFILE%\[ランダム文字列].exe
具体的には C:\ProgramData\[ランダム文字列].exe みたいな感じ
具体的には C:\ProgramData\[ランダム文字列].exe みたいな感じ
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
名前 → [ランダム数値]
値のデータ → ファイルパス ( C:\PROGRA~2\[ランダム文字列].exe など )
名前 → [ランダム数値]
値のデータ → ファイルパス ( C:\PROGRA~2\[ランダム文字列].exe など )
◆ Gamarue ウイルスの感染手口
http://www.microsoft.com/security/portal/images/worm_sized.png
1台の感染マシンから拡散する重要な役割を果たすUSBメモリ
(画像出典 Microsoft Malware Protection Center)
1台の感染マシンから拡散する重要な役割を果たすUSBメモリ
(画像出典 Microsoft Malware Protection Center)
【1】 ネットサーフィン中にドライブバイ・ダウンロード攻撃による強制インストール
【2】 英語表記のスパムメールに添付された実行ファイル(画像に偽装)の自爆感染
【3】 他のマルウェアがダウンロードしてきてインストールする
↓
【4】 USBメモリ由来 (自動実行オートラン型 & ショートカットファイル型)
【2】 英語表記のスパムメールに添付された実行ファイル(画像に偽装)の自爆感染
【3】 他のマルウェアがダウンロードしてきてインストールする
↓
【4】 USBメモリ由来 (
USBメモリのオートラン機能は、2011年にWindows XP/Vista 向けにWindows Update経由で無効化パッチが配信済みで、Windows 7/8 はUSBメモリのオートラン機能自体が実装されてません。