解析者: Karl Dominguez   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ファイル感染型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 ファイルに感染

ウイルスは、リムーバブルドライブを介してコンピュータに侵入します。 ウイルスは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 ウイルスは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を実行します。

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

  詳細

ファイルサイズ 89,355 bytes
タイプ PE
メモリ常駐 はい
発見日 2011年1月16日
ペイロード ファイルの作成

侵入方法

ウイルスは、リムーバブルドライブを介してコンピュータに侵入します。

ウイルスは、ネットワーク共有フォルダを経由してコンピュータに侵入します。

ウイルスは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

ウイルスは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

ウイルスは、以下のコンポーネントファイルを作成します。

  • %System%\{random characters}.sys - detected as RTKT_WAPOMI.A, rootkit component used by this file infector to hide its files, registry entries, and processes
  • %System Root%\Documents and Settings\Infotmp.txt
  • %System Root%\Users\Infotmp.txt

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ウイルスは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\{random numbers}.tmp

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

他のシステム変更

ウイルスは、以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network

ファイル感染

ウイルスは、以下の形式のファイルに感染します。

  • .EXE

ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を実行します。

ウイルスは、以下の文字列を含むフォルダには感染しません。

  • Thunder Network
  • Thunder
  • WinRAR
  • WindowsUpdate
  • Windows NT
  • Windows Media Player
  • Outlook Express
  • NetMeeting
  • MSN Gaming Zone
  • Movie Maker
  • Microsoft Frontpage
  • Messenger
  • Internet Explorer
  • InstallShield Installation Information
  • ComPlus Applications
  • Common Files
  • RECYCLER
  • System Volume Information
  • Documents and Settings
  • WinNT
  • Windows

感染活動

ウイルスは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • {drive letter}:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}

ウイルスは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {drive letter}:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[AutoRun]
OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe
shell\open={random characters}
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe Show
shell\open\Default=1
shell\explore={random characters}
shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe Show

プロセスの終了

ウイルスは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • RavMonD.exe
  • 360tray.exe
  • MPSVC.exe

ダウンロード活動

ただし、情報公開日現在、このWebサイトにはアクセスできません。

その他

ウイルスは、以下のWebサイトにアクセスしてインターネット接続を確認します。

  • www.baidu.com

ウイルスは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • http://vbnet.{BLOCKED}ps.org/resources/tools/getpublicip.shtml

ウイルスは、以下のWebサイトにアクセスして不正なファイルをダウンロードします。

  • http://{BLOCKED}.{BLOCKED}.63.57/msdownload/update/v5/redir/wuredirts.rar

  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 7.772.02
初回 VSAPI パターンリリース日 2011年1月16日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「PE_GWAPOMI.A-O」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

手順 3

スタートアップディスク、または、回復コンソールを用いて、「PE_GWAPOMI.A-O」として検出されたファイルを確認し削除します。

[ 詳細 ]

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • {application name}

Where {application name} refers to the following:
360SoftMgrSvc.exe
360hotfix.exe
360rp.exe
360rpt.exe
360safe.exe
360safebox.exe
360sd.exe
360se.exe
360speedld.exe
360tray.exe
AvastUI.exe
CCenter.exe
FilMsg.exe
KVMonXP.exe
KVMonXP.kxp
KVSrvXP.exe
MPMon.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
McNASvc.exe
McProxy.exe
McSACore.exe
Mcagent.exe
Mcods.exe
Mcshield.exe
MpfSrv.exe
RavMonD.exe
RavTask.exe
RsAgent.exe
RsTray.exe
ScanFrm.exe
SfCtlCom.exe
SpIDerMl.exe
TMBMSRV.exe
TmProxy.exe
Twister.exe
UfSeAgnt.exe
afwServ.exe
ast.exe
avcenter.exe
avfwsvc.exe
avgnt.exe
avguard.exe
avmailc.exe
avp.exe
avshadow.exe
avwebgrd.exe
bdagent.exe
ccSvcHst.exe
dwengine.exe
egui.exe
ekrn.exe
kavstart.exe
kissvc.exe
kmailmon.exe
kpfw32.exe
kpfwsvc.exe
kpopserver.exe
krnl360svc.exe
ksmgui.exe
ksmsvc.exe
kswebshield.exe
kwatch.exe
kwstray.exe
kxedefend.exe
kxesapp.exe
kxescore.exe
kxeserv.exe
kxetray.exe
livesrv.exe
mcmscsvc.exe
mcsysmon.exe
mcvsshld.exe
msksrver.exe
qutmserv.exe
rsnetsvr.exe
safeboxTray.exe
sched.exe
seccenter.exe
spideragent.exe
spidernt.exe
spiderui.exe
vsserv.exe
zhudongfangyu.exe
ÐÞ¸´¹¤¾ß.exe

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %System Root%\Documents and Settings\Infotmp.txt
  • %System Root%\Users\Infotmp.txt

手順 6

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • {drive letter}:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}

手順 7

「PE_GWAPOMI.A-O」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。

[ 詳細 ]
    [AutoRun]
    OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe
    shell\open={random characters}
    shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe Show
    shell\open\Default=1
    shell\explore={random characters}
    shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe Show

手順 8

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PE_GWAPOMI.A-O」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 9

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

%System%\appmgmts.dll
%System%\browser.dll
%System%\cryptsvc.dll
%System%\es.dll
%System%\mspmsnsv.dll
%System%\mswsock.dll
%System%\netman.dll
%System%\ntmssvc.dll
%System%\pchsvc.dll
%System%\qmgr.dll
%System%\regsvc.dll
%System%\schedsvc.dll
%System%\shsvcs.dll
%System%\ssdpsrv.dll
%System%\tapisrv.dll
%System%\upnphost.dll
%System%\xmlprov.dll


ご利用はいかがでしたか? アンケートにご協力ください