PE_PAGIPEF.CA

ウイルスは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ウイルスは、セキュリティ製品に関連するレジストリキーを削除します。これにより、ウイルスは、感染コンピュータにインストールされているセキュリティ製品に検出されることなく、自身の不正活動を実行することが可能になります。

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

侵入方法

ウイルスは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ウイルスは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System%\com\lsass.exe
• {Malware path}\{malware name}.exe.log

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

他のシステム変更

ウイルスは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
Type = "radio"

(註：変更前の上記レジストリ値は、「checkbox」となります。)

ウイルスは、セキュリティ製品に関連するレジストリキーを削除します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer

感染活動

ウイルスは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• pagefile.pif

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[AutoRun]
open=pagefile.pif
shell\open=´ò¿ª(&O)
shell\open\Command=pagefile.pif
shell\open\Default=1
shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
shell\explore\Command=pagefile.pif

作成活動

ウイルスは、以下のファイルを作成します。

• %System Root%\NetApi000.sys
• %System%\com\smss.exe
• %System%\com\netcfg.000
• %System%\com\netcfg.dll

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

その他

ウイルスは、以下の不正なWebサイトにアクセスします。

• http://js.{BLOCKED}2.com/go.asp
• http://jj.{BLOCKED}y.net/html/qb2.html