PE_PAGIPEF.BY
Win32/Xorer (NAI), Virus:Win32/Xorer.gen!A (Microsoft)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
ファイル感染型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
ウイルスは、リムーバブルドライブを介してコンピュータに侵入します。 ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ウイルスは、標的とするファイルの先頭に自身のコードを追加して感染活動を行います。 ウイルスは、上記ファイルにコードを挿入し、特定のファイル形式に感染します。
ウイルスは、感染コンピュータ上のすべての物理ドライブおよびリムーバブルドライブ内に自身のコピーを作成します。 ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
詳細
侵入方法
ウイルスは、リムーバブルドライブを介してコンピュータに侵入します。
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ウイルスは、以下のファイルを作成し実行します。
- %system%\com\lsass.exe detected as PE_PAGIPEF.BY
- %system%\com\netcfg.dll detected as TROJ_PAGIPEF.BY
- %system%\com\netcfg.000 detected as TROJ_PAGIPEF.BY
- %system%\com\smss.exe detected as TROJ_PAGIPEF.BL
ウイルスは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- xcgucvnzn
自動実行方法
ウイルスは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\NetApi000
ウイルスは、以下のサービスを追加し、実行します。
- Netapi000
他のシステム変更
ウイルスは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoDriveTypeAutoRun = "91"
ウイルスは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
Type = "radio"
(註:変更前の上記レジストリ値は、「checkbox」となります。)
ウイルスは、以下のレジストリキーを削除します。
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Group Policy Objects
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
ファイル感染
ウイルスは、標的とするファイルの先頭に自身のコードを追加して感染活動を行います。
ウイルスは、上記のファイルにコードを挿入し、以下の拡張子を持つファイルに感染します。
- *.exe
感染活動
ウイルスは、感染コンピュータ上のすべての物理ドライブおよびリムーバブルドライブ内に自身のコピーを作成します。
ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
asdfasdf
アドウェア活動
ウイルスは、以下のWebサイトにアクセスし、広告をダウンロードおよび表示します。
- http://js.{BLOCKED}2.com/go.asp
- http://ww2.js.{BLOCKED}2.com/go.asp
- http://w.{BLOCKED}o.com/r.htm
- http://ww38.w.{BLOCKED}o.com/r.htm
- http://js.{BLOCKED}2.com/01.asp
その他
ウイルスは、タイトルバーに以下の文字列を含むアプリケーションのウィンドウを閉じます。
- rav
- avp
- twister
- kv
- watch
- kissvc
- scan
- guard
- kmailmon
- 360¦¦+½
- lsass.exe
- smss.exe
- pagefile.pif
- dr.web
- firewall
- escan
- mcagent
- yst
- afet
- onit
- kv
- monitor
- ewido
- bitdefender
- facelesswndproc
- avg
- arp
- mcafee
- afx:
- eset
- thunderrt6main
- thunderrt6formdc
- ThunderRT6Timer
- antivir
- tapplication
- AfxControlBar42s
- TsuiForm
- copylock
- avast
- ##vso##
- TPageControl
- TTabSheet
- diskgen
- dummycom
- xorer
- ieframe
- cabinetwclass
- mozillauiwindowclass
- metapad
- AntiVirService
- AVP
- KWatchSvc
- ekrn
- SymEvent
- PAVSRV
- tmmbd
- McShield
- RsRavMon
- EQService
- KSysMon
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「PE_PAGIPEF.BY」 が作成またはダウンロードした不正なファイルを削除します。
- TROJ_PAGIPEF.BL
- TROJ_PAGIPEF.BY
手順 3
このマルウェアは、通常モードまたはセーフモード下での検出および削除手順では、マルウェアを完全に削除することができない場合があります。そのため、以下の方法で Windows の回復コンソールを使用し、コンピュータを再起動してください。
•Windows 2000、XP および Server 2003 の場合
- Windows のインストール CD を使用して、コンピュータを再起動します。
- [セットアップへようこそ] 画面で、修復の R キーを押します。 (註: Windows2000 の場合、R キーを入力後 C キーを入力し、[修復オプション]から[回復コンソール]を選択します。)
- キーボードを選択します。
- 修復する Windows がインストールされているドライブを選択します(通常は 1 を選択します)。
- 管理者のパスワードを入力し、Enter を押します。管理者パスワードがない場合は、何も入力せずに Enter を押します。
- コマンドプロンプトに、以下のコマンドを入力し、Enter を押してください。
SET AllowAllPaths = TRUE
del "%System%\Com\lsass.exe"
del "%System%\Com\smss.exe" - コマンドプロンプトに exit と入力し、コンピュータを再起動してください。
•Windows Vista および 7 の場合
- Windows のインストール DVD を使用して、コンピュータを再起動します。
- 再起動するかどうかの確認画面が表示されたら、いずれかのキーを入力し、表示される指示に従います。
- Windows のインストールDVDによっては、インストールする言語の選択が必要になる場合があります。 Windows のインストール画面で、言語、ロケール情報およびキーボードの種類と入力方法を選択します。[コンピュータを修復する]をクリックします。
- コンピュータを修復します。[次へ]-[コンピューターの修復]をクリックします。
- [システム回復オプション]で、[Windows の起動に伴う修復用の回復ツールを使用します。修復するオペレーティングシステムを選択してください。]を選択し、該当のオペレーティングシステムを選びます。そして[次へ]をクリックします。
- [スタートアップ修復]画面が表示された場合、[キャンセル]-[はい]-[完了]をクリックします。
- [システム回復オプション]メニューで、[コマンドプロンプト]をクリックします。
- 以下のコマンドを入力し、Enter を押します。
del "%System%\Com\lsass.exe"
del "%System%\Com\smss.exe"
※Windows 7 の場合、すべてのローカルドライブは、通常よりひとつ多く割り当てられています。例:C:ドライブは、D:ドライブとなります。 - コマンドプロンプトに exit と入力し、Enter を押して、コマンドプロンプトを閉じます。
- [再起動]をクリックしてコンピュータを通常どおり再起動してください。
手順 4
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
- NetApi000
- NetApi000
手順 5
削除されたレジストリキーを修正します。
- レジストリエディタの左側のパネルにある以下のキーをダブルクリックします。
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Control>SafeBoot>Minimal - 上記キーのフォルダ[Minimal]上で右クリックし、[新規]-[キー]を選択します。新規作成するキー名に、以下の値を入力します。
{4D36E967-E325-11CE-BFC1-08002BE10318} - 新規で作成したキーの値の名前上で右クリックし、[修正]を選択します。[値のデータ]欄に下記を入力します。
DiskDrive - 次に、レジストリエディタの左側のパネルにある以下のキーをダブルクリックします。
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Control>SafeBoot>Network - 上記キーのフォルダ[Network]上で右クリックし、[新規]-[キー]を選択します。新規作成するキー名に、以下の値を入力します。
{4D36E967-E325-11CE-BFC1-08002BE10318} - 新規で作成したキーの値の名前上で右クリックし、[修正]を選択します。[値のデータ]欄に下記を入力します。
DiskDrive - レジストリエディタを閉じます。
手順 6
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: ShowSuperHidden = "0"
To: ShowSuperHidden = "1"
- From: ShowSuperHidden = "0"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
- From: Type = "radio"
To: Type = "checkbox"
- From: Type = "radio"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- From: NoDriveTypeAutoRun = "91"
To: NoDriveTypeAutoRun = "{user defined}"
- From: NoDriveTypeAutoRun = "91"
手順 7
「PE_PAGIPEF.BY」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。
open=pagefile.pif
shell\open=[garbage text]
shell\open\Command=pagefile.pif
shell\open\Default=1
shell\explore=[garbage text]
shell\explore\Command=pagefile.pif
手順 8
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「PE_PAGIPEF.BY」と検出したファイルの駆除を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 9
以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。
※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy Objects
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ご利用はいかがでしたか? アンケートにご協力ください