PE_EXPIRO.JX-O
Trojan:Win32/Meredrop (Microsoft); W32.Xpiro.D (Symantec)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
ファイル感染型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
トレンドマイクロは、このウイルスをNoteworthy(要注意)に分類しました。
このファイル感染型ウイルスは、不正なJavaアプレットを介してコンピュータに侵入します。コンピュータに感染すると、すべてのアクセス可能なドライブ内に存在する実行ファイル検索します。これにより特にネットワークにおける共有フォルダを共有している他のコンピュータへの感染が容易になります。
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 ウイルスは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。
ウイルスは、対象とするファイルのエントリポイントで確認したコードを上書きします。そして、その対象とするファイルにウイルス本体を追記します。なお、ウイルスが上書きしたコードは、ウイルス本体に保存されます。
ウイルスは、感染コンピュータや感染ユーザから特定の情報を収集します。
詳細
侵入方法
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ウイルスは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。
- JAVA_EXPLOIT.ZC
- TROJ_PIDIEF.JXM
インストール
ウイルスは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- kkq-vx-mtx{random-number}
ファイル感染
ウイルスは、対象とするファイルのエントリポイントで確認したコードを上書きします。そして、その対象とするファイルにウイルス本体を追記します。なお、ウイルスが上書きしたコードは、ウイルス本体に保存されます。
ウイルスは、以下のフォルダ内で対象とするファイルを検索します。
- {folder where malware is installed}
- %Start Menu%
- All available drives
(註:%Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。)
情報漏えい
ウイルスは、以下の情報を収集します。
- Windows Product ID
- Drive Volume Serial Number
- OS Version
- User credentials
- FileZilla Information
情報収集
収集した情報は、以下のファイルに保存されます。
- %Application Data%\wsr18zt32.dll
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)
ウイルスは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- {BLOCKED}romarenda.ru
- {BLOCKED}on-oriental.ru
- {BLOCKED}na-rukave.org
- {BLOCKED}izneonet.biz
- {BLOCKED}etails555.biz
- {BLOCKED}-govsvc.ru
- {BLOCKED}ydyg.ru
- {BLOCKED}ugin.com
- {BLOCKED}ikav.com
- {BLOCKED}aquh.ru
- {BLOCKED}etop.com
- {BLOCKED}outhoffshore.com
- {BLOCKED}latker.ru
- {BLOCKED}job.ru
- {BLOCKED}gunszavod.ru
- {BLOCKED}vostok.ws
- {BLOCKED}op-ultras.org
- {BLOCKED}kygay-formula.in
- {BLOCKED}xxlub.ru
- {BLOCKED}adshop.ru
- {BLOCKED}rtal-2016.ru
- {BLOCKED}rc-usb33bit.com
- {BLOCKED}ers50.ru
- {BLOCKED}ka-ww2.ru
- {BLOCKED}-beavis.ru
- {BLOCKED}-from-iran.net
- {BLOCKED}ur.ru
- {BLOCKED}llusionist.com
- {BLOCKED}llusionist.net
- www.{BLOCKED}vrc-usb33bit.com
その他
ウイルスは、すべてのサービスに感染します。
感染したファイルは、「PE_EXPIRO.JX」として検出されます。
ウイルスは、インターネット活動を監視するために、Mozilla FirefoxのアドオンおよびGoogle Chromeの拡張機能をインストールします。そして以下のWebサイトへとユーザを誘導します。
ウイルスがファイル検索を行う場所は、以下のとおりです。
- <ウイルスがインストールされたフォルダ>
- %Start Menu%
- すべてのアクセス可能なドライブ
ウイルスが収集する情報は、以下のとおりです。
- WindowsのプロダクトID
- ドライブボリュームのシリアル番号
- オペレーティングシステム(OS)の種類
- ユーザの認証情報
- FileZillaの情報
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 4
以下のファイルを検索し削除します。
- %Application Data%\wsr28zt32.dll
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PE_EXPIRO.JX-O」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください