PE_EXPIRO.AR
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
ファイル感染型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ウイルスは、レジストリ値を変更し、複数のシステムサービスを無効にします。これにより、システムに必要な機能が起動しません。
ウイルスは、ワーム活動の機能を備えていません。
ウイルスは、特定のWebサイトにアクセスし、情報を送受信します。
ウイルスは、Internet Explorer(IE)のセキュリティ設定を変更します。これにより、ウイルスは、悪意のあるWebサイトへのアクセスが可能になり、感染コンピュータはさらなる脅威にさらされることとなります。
ウイルスは、ダウンロードする機能を備えていません。
ウイルスは、感染コンピュータや感染ユーザから特定の情報を収集します。
詳細
侵入方法
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ウイルスは、以下のファイルを作成します。
- %Application Data%\{Volume serial of system folder}{number}.nls - non-malicious
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)
ウイルスは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- kkq-vx-mtx{number}
他のシステム変更
ウイルスは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\System
EnableSmartScreen = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer
HideSCAHealth = "1"
ウイルスは、レジストリ値を変更し、以下のシステムサービスを無効化します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
ファイル感染
ウイルスは、以下の形式のファイルに感染します。
- EXE
感染活動
ウイルスは、ワーム活動の機能を備えていません。
バックドア活動
ウイルスは、以下のWebサイトにアクセスし、情報を送受信します。
- hxxp://www1.{BLOCKED}c.ca
- http://{BLOCKED}seevers.net
- http://{BLOCKED}promarenda.ru
- http://{BLOCKED}vostok.ws
- http://www.{BLOCKED}usb33bit.com
- http://{BLOCKED}nuran237.com
- http://{BLOCKED}beavis.ru
- http://{BLOCKED}estores.cc
- http://{BLOCKED}plutonium.com
- http://{BLOCKED}policy2011.ru
- http://{BLOCKED}jopa2018.org
- http://{BLOCKED}-testlist.biz
- http://{BLOCKED}-casting.ru
- http://{BLOCKED}ed.ru
- http://{BLOCKED}blardoegp.com
- http://{BLOCKED}bank.ru
- http://{BLOCKED}isnotlexus.com
- http://{BLOCKED}micfailz.com
- http://{BLOCKED}ka-ww2.ru
- http://{BLOCKED}latker.ru
- http://{BLOCKED}axxlub.ru
- http://{BLOCKED}gay-formula.in
Webブラウザのホームページおよび検索ページの変更
ウイルスは、IEのゾーン設定を変更します。
ダウンロード活動
ウイルスは、ダウンロードする機能を備えていません。
情報漏えい
ウイルスは、以下の情報を収集します。
- Certificates
- User credentials
- Information from Filezilla
- Windows Product ID
- Drive Volume Serial Number
- OS Version
情報収集
ウイルスは、以下のファイル内に収集した情報を保存します。
- %Application Data%\kf{random number}z32.dl
- %Application Data%\dfl{random number}z32.dll
- %Application Data%\wsr{number}zt32.dll
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)
その他
ウイルスが作成する無害なファイルは、以下のとおりです。
- %Application Data%\{Volume serial of system folder}{number}.nls
ウイルスが収集する情報は以下の通りです。
- 証明書
- ユーザの認証情報
- FileZillaからの情報
- WindowsのプロダクトID
- ドライブボリュームのシリアル番号
- オペレーティングシステム(OS)の種類
ウイルスは以下の場所にあるショートカットファイルに感染します。
- %Desktop%
- %Start Menu%\Programs
ウイルスはスタートアッププログラムに感染するため、「PE_EXPIRO.AR」を自動実行する機能も備えています。
ウイルスはリムーバブルドライブの存在も確認します。確認された場合、ウイルスはリムーバブルドライブ内の拡張子".EXE"のファイルに感染します。これにより感染します。
また、ウイルスは、「C」から「Z」のドライブを検索し、そのドライブ内に拡張子".EXE"のファイルが確認された場合に感染します。この手法によりネットワークを介して共有されたドライブが感染します。また、これにより感染します。
また、ウイルスは、登録されたサービス内の拡張子".EXE"のファイルを検索し、そのサービスに関連する対象とするファイルに感染します。
そして、ウイルスは、感染したサービスの"Start"および"Type"のレジストリ値を改変します。
ウイルスは、以下のセキュリティ関連プログラムを終了します。
- Avast
- avg_i
- COMODO
- bitdefender
- avira
- Titanium_
- eav_
- ess_
- Outpost
- Emisoft
- _FUL_
- _sfx.exe
- SetupWeb_
- MSASCui.exe
- msseces.exe
- mseinstall.exe
- Tcpview.exe
- cav_installer.exe
- cfw_installer.exe
- cispremium_installer.exe
- PandaCloudAntivirus.exe
- 60Second.exe
- Antivirus_Free_Edition.exe
- OnlineArmorSetup.exe
- McAfeeSetup.exe
- Vba32.NT.T.exe
- Vba32.P.exe
- Vba32.S.exe
- Vba.Vista.exe
- Vba.W.exe
- Vba32Check.exe
- Vba32RCSInstallTuner.exe
- avgmfapx.exe
ウイルスは、以下のサービスを無効にします。
- wscsvc
- WinDefend
- MsMpSvc
- NisServ
- gupdate
- gupdatem
- wuauserv
ウイルスは、Mozilla Firefox および Google Chromeのアドオン/拡張機能をインストールし、閲覧活動の監視および以下のURLへユーザを誘導します。
- {BLOCKED}c-sunholder.net
- {BLOCKED}portal-2013.ru
- {BLOCKED}jhop-ultraz.org
- {BLOCKED}lan-dagestan.net
- {BLOCKED}sia-gvtsvc.ru
- {BLOCKED}h-gunfactory.ru
- {BLOCKED}ver-syria.biz
- {BLOCKED}v-jop.ru
- {BLOCKED}-mers60.ru
- {BLOCKED}etails666.biz
- {BLOCKED}snor.ru
- {BLOCKED}-na-rukave.biz
- {BLOCKED}-anal-zonds.com
ウイルスは、ルートキット機能を備えていません。
ウイルスは、脆弱性を利用した感染活動を行いません。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
- From: Start = "4"
To: Start = 2
- From: Start = "4"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
- From: Start = "4"
To: Start = 2
- From: Start = "4"
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System
- EnableSmartScreen = 0
- EnableSmartScreen = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- HideSCAHealth = 1
- HideSCAHealth = 1
手順 4
以下のファイルを検索し削除します。
- %Application Data%\kf{number}z32.dl
- %Application Data%\dfl{number}z32.dll
- %Application Data%\wsr{number}zt32.dll
- %Application Data%\{Volume serial of system folder}{number}.nls
手順 5
Internet Explorer(IE)のセキュリティ設定を修正します。
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PE_EXPIRO.AR」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください