PE_EXPIRO.JX
Trojan:Win32/Meredrop (Microsoft); W32.Xpiro.D (Symantec)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
ファイル感染型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ウイルスは、対象とするファイルのエントリポイントで確認したコードを上書きします。そして、その対象とするファイルにウイルス本体を追記します。なお、ウイルスが上書きしたコードは、ウイルス本体に保存されます。
ウイルスは、感染コンピュータや感染ユーザから特定の情報を収集します。
詳細
侵入方法
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ウイルスは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- kkq-{random number}-mtx{random-number}
ファイル感染
ウイルスは、対象とするファイルのエントリポイントで確認したコードを上書きします。そして、その対象とするファイルにウイルス本体を追記します。なお、ウイルスが上書きしたコードは、ウイルス本体に保存されます。
ウイルスは、以下のフォルダ内で対象とするファイルを検索します。
- Current Directory
- %Start Menu%
- All available drive
(註:%Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。)
これは、トレンドマイクロの製品では、以下 により感染したファイルの検出名です。
- PE_EXPIRO.JX
情報漏えい
ウイルスは、以下の情報を収集します。
- Windows Product ID
- Drive Volume Serial Number
- OS Version
- User credentials
- FileZilla Information
情報収集
収集した情報は、以下のファイルに保存されます。
- %Application Data%\{random filename}.dll
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)
ウイルスは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- {BLOCKED}romarenda.ru
- {BLOCKED}on-oriental.ru
- {BLOCKED}na-rukave.org
- {BLOCKED}izneonet.biz
- {BLOCKED}etails555.biz
- {BLOCKED}-govsvc.ru
- {BLOCKED}ydyg.ru
- {BLOCKED}ugin.com
- {BLOCKED}ikav.com
- {BLOCKED}aquh.ru
- {BLOCKED}etop.com
- {BLOCKED}outhoffshore.com
- {BLOCKED}latker.ru
- {BLOCKED}job.ru
- {BLOCKED}gunszavod.ru
- {BLOCKED}vostok.ws
- {BLOCKED}op-ultras.org
- {BLOCKED}kygay-formula.in
- {BLOCKED}xxlub.ru
- {BLOCKED}adshop.ru
- {BLOCKED}rtal-2016.ru
- {BLOCKED}rc-usb33bit.com
- {BLOCKED}ers50.ru
- {BLOCKED}ka-ww2.ru
- {BLOCKED}-beavis.ru
- {BLOCKED}-from-iran.net
- {BLOCKED}ur.ru
- {BLOCKED}llusionist.com
- {BLOCKED}llusionist.net
- www.{BLOCKED}vrc-usb33bit.com
その他
ウイルスは、すべてのサービスに感染します。
ウイルスがファイル検索を行う場所は、以下のとおりです。
- ウイルスが存在するディレクトリ
- %Start Menu%
- すべてのアクセス可能なドライブ
ウイルスが収集する情報は、以下のとおりです。
- WindowsのプロダクトID
- ドライブボリュームのシリアル番号
- オペレーティングシステム(OS)の種類
- ユーザの認証情報
- FileZillaの情報
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
以下のファイルを検索し削除します。
- %Application Data%\wsr28zt32.dll
手順 3
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PE_EXPIRO.JX」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください