PE_POLIP.A
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
ファイル感染型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
ウイルスは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ウイルスは、ピアツーピア(P2P)の共有フォルダを介してコンピュータに侵入します。 ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ウイルスは、バックドア活動の機能を備えていません。
ウイルスは、情報収集する機能を備えていません。
詳細
侵入方法
ウイルスは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
ウイルスは、P2Pの共有フォルダを介してコンピュータに侵入します。
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ウイルスは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %Windows%\system\svchost.exe
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
ウイルスは、以下のフォルダを作成します。
- %Windows%\system\_sv_CMD_
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
自動実行方法
ウイルスは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "userinit.exe,%Windows%\system\svchost.exe"
(註:変更前の上記レジストリ値は、「"%System%\userinit.exe,"」となります。)
感染活動
ウイルスは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- {Removable Drive Letter}:\RECYCLER
ウイルスは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {Removable Drive Letter}:\RECYCLER\INFO.exe
ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[autorun]
open=
shell\open\Command=RECYCLER\INFO.exe
shell\open\Default=1
shell\explore\Command=RECYCLER\INFO.exe
バックドア活動
ウイルスは、バックドア活動の機能を備えていません。
作成活動
ウイルスは、以下のファイルを作成します。
- {Removable Drive Letter}:\RECYCLER\desktop.ini
情報漏えい
ウイルスは、情報収集する機能を備えていません。
その他
ウイルスは、拡張子「scr」および「exe」のファイルが感染したコンピュータ内で実行されると、それらのファイルに感染します。
ウイルスは、ファイル名またはフォルダパスに以下の文字列を含むファイルへの感染を避けます。
- adaptec
- adinf
- agnitum
- ahead
- aladdin
- alarm
- alwil
- armor
- aspack
- assemble
- astonsoft
- avast
- avwin
- aware
- backdoor
- barracuda
- blackice
- blindwrite
- cillin
- clean
- clonecd
- common
- copystar
- csrss
- ctfmon
- debug
- defender
- dfrgntfs
- disasm
- doctor
- drwatson
- drweb
- drwtsn32
- dumprep
- dwwin
- elaborate
- eliashim
- esafe
- etrust
- firewall
- forti
- f-prot
- frisk
- gear software
- gladiator
- grisoft
- guard
- hijack
- hunter
- imapi
- infosystems
- inoculate
- intermute
- kaspersky
- kerio
- kernel32.dll
- lavasoft
- mcafee
- neolite
- newtech
- nod32
- norman
- norton
- numega
- ort expl
- ositis
- outpost
- panda
- pebundle
- pecompact
- personal
- pklite
- pkware
- principal
- process
- protect
- proxy
- qualys
- rescue
- retina
- route
- roxio
- safe'n'sec
- sateira
- savedump
- secure
- security
- setup
- shield
- slysoft
- softice
- softwin
- sonique
- sophos
- spider
- spoolsv
- spyware
- sqstart
- starforce
- steganos
- swift sound
- sygate
- symantec
- tenable
- trend micro
- trojan
- virus
- watch
- webroot
- zone labs
ウイルスは、感染したファイルと同じフォルダ内の以下のセキュリティチェックサムファイルやインテグリティチェックデータベースを検索し、削除します。
- drwebase.vdb
- avg.avi
- vs.vsn
- anti-vir.dat
- avp.crc
- chklist.ms
- ivb.ntz
- ivp.ntz
- chklist.cps
- smartchk.ms
- smartchk.cps
- aguard.dat
- avgqt.dat
- lguard.vps
ウイルスは、内蔵されているGnutellaピアツーピア(P2P)ネットワークプロトコルを利用して、pdmckaziejdntbJという名称の自身のコピーを接続したクライアントへ送信し、共有します。ウイルスは、以下の予め定義されたサーバノード(GWebCaches)のカタログを利用し、接続したクライアントのリストを収集します。
- {BLOCKED}che.{BLOCKED}r.com:8080/gwc
- {BLOCKED}technology.net:8000
- {BLOCKED}c2.{BLOCKED}e.nu:3333
- {BLOCKED}-c-41-d1-94-ce.cpe.quickclic.net:8088
- {BLOCKED}loset.com/gwebcache/gcache.cgi
- {BLOCKED}c2.{BLOCKED}dle.us:3559/gwc2
- {BLOCKED}ab2.{BLOCKED}s.org:8002/gwc
- {BLOCKED}c1c.{BLOCKED}n.ch.3557.nyud.net:8090/gwc
- {BLOCKED}wc.{BLOCKED}0.net/ygwc.php
- {BLOCKED}c.{BLOCKED}e.nu:3333
- {BLOCKED}s.{BLOCKED}oolley.co.uk/GWebCache/gcache.php
- {BLOCKED}che.{BLOCKED}ass.net:8000
- {BLOCKED}de04.{BLOCKED}n.cns.ufl.edu:8080/pwc.cgi
- {BLOCKED}c.{BLOCKED}z.net:8010/gwc
- {BLOCKED}de02.{BLOCKED}n.cns.ufl.edu:8080/pwc.cgi
- {BLOCKED}ache.{BLOCKED}y.net
- {BLOCKED}ot.{BLOCKED}group.org
- {BLOCKED}cake.{BLOCKED}as.net:9627
- {BLOCKED}c1.{BLOCKED}z.org/servlet/GWebCache/req
- {BLOCKED}rface.{BLOCKED}ston.net:3558
- {BLOCKED}ab2.{BLOCKED}s.org:30002/gwc
- {BLOCKED}sama.{BLOCKED}h.cx:8080
- {BLOCKED}cream.{BLOCKED}as.com
- {BLOCKED}adface.{BLOCKED}ton.net:3558
- {BLOCKED}de00.{BLOCKED}n.cns.ufl.edu:8080/pwc.cgi
- {BLOCKED}cache.{BLOCKED}2.net/gwcache/lynnx.asp
- {BLOCKED}lvatron.{BLOCKED}s.org:59009/gwcache
- {BLOCKED}crab.{BLOCKED}tro.com:8001
- {BLOCKED}che.{BLOCKED}k.ath.cx:8000
- {BLOCKED}c.{BLOCKED}er.ath.cx:8080
- {BLOCKED}ill.{BLOCKED}et.nu:20095/gwc
- {BLOCKED}ebcache.{BLOCKED}nly.nl
- {BLOCKED}erbeer.{BLOCKED}itecrab.de
- {BLOCKED}mm.{BLOCKED}eer.com/gwebcache/gcache.cgi
- {BLOCKED}ebcache.{BLOCKED}y.com.au/cgi-bin/perlgcache.cgi
- {BLOCKED}ebcache.{BLOCKED}are.net/gcache.Php
現在上述のノードには、アクセスできません。
ウイルスは、ルートキット機能を備えていません。
ウイルスは、脆弱性を利用した感染活動を行いません。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- From: Userinit = "userinit.exe,%Windows%\system\svchost.exe"
To: Userinit = "%System%\userinit.exe,"
- From: Userinit = "userinit.exe,%Windows%\system\svchost.exe"
手順 4
以下のフォルダを検索し削除します。
- %Windows%\system\_sv_CMD_
- {Removable Drive Letter}:\RECYCLER
手順 5
「PE_POLIP.A」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。
- [autorun]
- open=
- shell\open\Command=RECYCLER\INFO.exe
- shell\open\Default=1
- shell\explore\Command=RECYCLER\INFO.exe
手順 6
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「PE_POLIP.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください