PE_SALITY.EK-O
Worm:Win32/Nuqel.Z (Microsoft), Virus.Win32.Sality.gen (Kaspersky)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
ファイル感染型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ウイルスは、既定のWindowsフォルダのアイコンを用いて、ユーザにファイルを開くよう促します。ユーザがファイルをダブルクリックすることで、このウイルスは実行されます。
ウイルスは、特定のレジストリ値を追加し、タスクマネージャを無効にします。これにより、通常はタスクマネージャを介して行うウイルスのプロセスの終了が実行できなくなります。
ウイルスは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。
ウイルスは、Internet Explorer(IE)のゾーン設定を変更します。
詳細
侵入方法
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ウイルスは、既定のWindowsフォルダのアイコンを用いて、ユーザにファイルを開くよう促します。ユーザがファイルをダブルクリックすることで、このウイルスは実行されます。
ウイルスは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Op1mutx9
- {Process Name}M_{Random Number}_ - Mutex is terminated immediately
自動実行方法
ウイルスは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Chosen Program} = "{Path of Infected File}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Chosen Program} = "{Path of Infected File}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe {Infected File}.exe"
ウイルスは、自身のコピーがWindows起動時に自動実行されるように、"SYSTEM.INI" に以下の値または文字列を追加します。
- [Autorun]
- Open={Infected File}.exe
- Shellexecute={Infected File}.exe
- Shell\Open\command={Infected File}.exe
- Shell=Open
他のシステム変更
ウイルスは、"SYSTEM.INI" 内に以下の文字列を追加します。
- [MCIDRV_VER]
- DEVICEMB={Random Numbers}
ウイルスは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Shares
shared = "{Path of Malware Copy}"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NofolderOptions = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"
HKEY_LOCAL_MACHINE\SYSTEM\{Current Control Set}\
Services\Schedule
AtTaskMaxHours = "0"
ウイルスは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\{Username}914
{%1st Letter of Username%}{Num}_{Num} = "{DWORD}"
HKEY_CURRENT_USER\Software\{Username}914\
{Random Numbers}
{Random Numbers} = {Random Characters}
ウイルスは、以下のレジストリ値を追加し、タスクマネージャを無効にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "0"
ウイルスは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\{Current Control Set}\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{Original Malware File Path} = "{Original Malware File Path}:*:Enabled:ipsec"
ファイル感染
ウイルスは、以下の形式のファイルに感染します。
- .EXE
- .SCR
感染活動
ウイルスは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。
プロセスの終了
ウイルスは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。
- _AVPM.
- A2GUARD.
- AAVSHIELD.
- ADVCHK.
- AHNSD.
- AIRDEFENSE
- ALERTSVC
- ALMON.
- ALOGSERV
- ALSVC.
- AMON.
- ANTI-TROJAN.
- ANTIVIR
- ANTS.
- APVXDWIN.
- ARMOR2NET.
- ASHAVAST.
- ASHDISP.
- ASHENHCD.
- ASHMAISV.
- ASHPOPWZ.
- ASHSERV.
- ASHSIMPL.
- ASHSKPCK.
- ASHWEBSV.
- ASWUPDSV.
- ATCON.
- ATUPDATER.
- ATWATCH.
- AUPDATE.
- AUTODOWN.
- AUTOTRACE.
- AUTOUPDATE.
- AVAST
- AVAST
- AVAST
- AVCIMAN.
- AVCONSOL.
- AVENGINE.
- AVGAMSVR.
- AVGCC.
- AVGCC32.
- AVGCTRL.
- AVGEMC.
- AVGFWSRV.
- AVGNT.
- AVGNTDD
- AVGNTMGR
- AVGSERV.
- AVGUARD.
- AVGUPSVC.
- AVINITNT.
- AVKSERV.
- AVKSERVICE.
- AVKWCTL.
- AVP32.
- AVPCC.
- AVPM.
- AVSCHED32.
- AVSYNMGR.
- AVWUPD32.
- AVWUPSRV.
- AVXMONITOR9X.
- AVXMONITORNT.
- AVXQUAR.
- BACKWEB-4476822.
- BDMCON.
- BDNEWS.
- BDOESRV.
- BDSS.
- BDSUBMIT.
- BDSWITCH.
- BLACKD.
- BLACKICE.
- CAFIX.
- CCAPP.
- CCEVTMGR.
- CCPROXY.
- CCSETMGR.
- CFIAUDIT.
- CLAMTRAY.
- CLAMWIN.
- CLAW95.
- CLAW95CF.
- CLEANER.
- CLEANER3.
- CLISVC.
- CMGRDIAN.
- CUREIT
- CUREIT.
- DEFWATCH.
- DOORS.
- DRVIRUS.
- DRWADINS.
- DRWEB32W.
- DRWEBSCD.
- DRWEBUPW.
- ESCANH95.
- ESCANHNT.
- EWIDOCTRL.
- EZANTIVIRUSREGISTRATIONCHECK.
- F-AGNT95.
- F-PROT95.
- F-SCHED.
- F-STOPW.
- FAMEH32.
- FAST.
- FCH32.
- FILEMON
- FIRESVC.
- FIRETRAY.
- FIREWALL.
- FPAVUPDM.
- FRESHCLAM.
- FSAV32.
- FSAVGUI.
- FSBWSYS.
- FSDFWD.
- FSGK32.
- FSGK32ST.
- FSGUIEXE.
- FSM32.
- FSMA32.
- FSMB32.
- FSPEX.
- FSSM32.
- GCASDTSERV.
- GCASSERV.
- GIANTANTISPYWAREMAIN.
- GIANTANTISPYWAREUPDATER.
- GUARDGUI.
- GUARDNT.
- HREGMON.
- HRRES.
- HSOCKPE.
- HUPDATE.
- IAMAPP.
- IAMSERV.
- ICLOAD95.
- ICLOADNT.
- ICMON.
- ICSSUPPNT.
- ICSUPP95.
- ICSUPPNT.
- IFACE.
- INETUPD.
- INOCIT.
- INORPC.
- INORT.
- INOTASK.
- INOUPTNG.
- IOMON98.
- ISAFE.
- ISATRAY.
- ISRV95.
- ISSVC.
- KAVMM.
- KAVPF.
- KAVPFW.
- KAVSTART.
- KAVSVC.
- KAVSVCUI.
- KMAILMON.
- KPFWSVC.
- KWATCH.
- LOCKDOWN2000.
- LOGWATNT.
- LUALL.
- LUCOMSERVER.
- LUUPDATE.
- MCAGENT.
- MCMNHDLR.
- MCREGWIZ.
- MCUPDATE.
- MCVSSHLD.
- MINILOG.
- MYAGTSVC.
- MYAGTTRY.
- NAVAPSVC.
- NAVAPW32.
- NAVLU32.
- NAVW32.
- NEOWATCHLOG.
- NEOWATCHTRAY.
- NISSERV
- NISUM.
- NMAIN.
- NOD32
- NOD32.
- NORMIST.
- NOTSTART.
- NPAVTRAY.
- NPFMNTOR.
- NPFMSG.
- NPROTECT.
- NSCHED32.
- NSMDTR.
- NSSSERV.
- NSSTRAY.
- NTRTSCAN.
- NTXCONFIG.
- NUPGRADE.
- NVC95.
- NVCOD.
- NVCTE.
- NVCUT.
- NWSERVICE.
- OFCPFWSVC.
- OUTPOST.
- PAVFIRES.
- PAVFNSVR.
- PAVKRE.
- PAVPROT.
- PAVPROXY.
- PAVPRSRV.
- PAVSRV51.
- PAVSS.
- PCCGUIDE.
- PCCIOMON.
- PCCNTMON.
- PCCPFW.
- PCCTLCOM.
- PCTAV.
- PERSFW.
- PERTSK.
- PERVAC.
- PNMSRV.
- POP3TRAP.
- POPROXY.
- PREVSRV.
- PSIMSVC.
- QHM32.
- QHONLINE.
- QHONSVC.
- QHPF.
- QHWSCSVC.
- RAVMON.
- RAVTIMER.
- REALMON.
- REALMON95.
- RFWMAIN.
- RTVSCAN.
- RTVSCN95.
- RULAUNCH.
- SAVADMINSERVICE.
- SAVMAIN.
- SAVPROGRESS.
- SAVSCAN.
- SCAN32.
- SCANNINGPROCESS.
- SDHELP.
- SHSTAT.
- SITECLI.
- SPBBCSVC.
- SPHINX.
- SPIDERML.
- SPIDERNT.
- SPIDERUI.
- SPYBOTSD.
- SPYXX.
- SS3EDIT.
- STOPSIGNAV.
- SWAGENT.
- SWDOCTOR.
- SWNETSUP.
- SYMLCSVC.
- SYMPROXYSVC.
- SYMSPORT.
- SYMWSC.
- SYNMGR.
- TAUMON.
- TBMON.
- TDS-3.
- TEATIMER.
- TFAK.
- THAV.
- THSM.
- TMAS.
- TMLISTEN.
- TMNTSRV.
- TMPFW.
- TMPROXY.
- TNBUTIL.
- TRJSCAN.
- UP2DATE.
- VBA32ECM.
- VBA32IFS.
- VBA32LDR.
- VBA32PP3.
- VBSNTW.
- VCHK.
- VCRMON.
- VETTRAY.
- VIRUSKEEPER.
- VPTRAY.
- VRFWSVC.
- VRMONNT.
- VRMONSVC.
- VRRW32.
- VSECOMR.
- VSHWIN32.
- VSMON.
- VSSERV.
- VSSTAT.
- WATCHDOG.
- WEBPROXY.
- WEBSCANX.
- WEBTRAP.
- WGFE95.
- WINAW32.
- WINROUTE.
- WINSS.
- WINSSNOTIFY.
- WRADMIN.
- WRCTRL.
- XCOMMSVR.
- ZATUTOR.
- ZAUINST.
- ZLCLIENT.
- ZONEALARM.
Webブラウザのホームページおよび検索ページの変更
ウイルスは、IEのゾーン設定を変更します。
ダウンロード活動
ウイルスは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。
- http://{BLOCKED}.67.154/testo5/
- http://{BLOCKED}nfo.co.kr/picassa.dat
- http://{BLOCKED}ustnet777.info/home.gif
- http://{BLOCKED}ustnet777.info/home.gif
- http://{BLOCKED}ustnet987.info/home.gif
- http://{BLOCKED}ustnet888.info/home.gif
その他
ウイルスは、以下のWebサイトにアクセスして不正なファイルをダウンロードします。
- http://www.{BLOCKED}fqwieluoi.info/
- http://{BLOCKED}7638dfqwieuoi.info/
- http://{BLOCKED}.{BLOCKED}.ua/mainh.gif
- http://{BLOCKED}nia.{BLOCKED}1.ru/mainh.gif
- http://{BLOCKED}x.ru/logos.gif
- http://{BLOCKED}o.com/logos.gif
- http://{BLOCKED}gital.com/dumper/backup/fmain.gif
- http://{BLOCKED}vcfds677.info
- http://{BLOCKED}egood24.com
- http://{BLOCKED}ctchoice1.com
- http://{BLOCKED}ddt.net
- http://{BLOCKED}ash.net
- http://{BLOCKED}ash.net
- http://{BLOCKED}-frn.net
- http://{BLOCKED}ash.net
- http://{BLOCKED}cash.net
- http://{BLOCKED}kewo7i487fksd.info
- http://{BLOCKED}96.info
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「PE_SALITY.EK-O」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\{Username}914
- {%1st Letter of Username%}{Num}_{Num} = "{DWORD}"
- {%1st Letter of Username%}{Num}_{Num} = "{DWORD}"
- In HKEY_CURRENT_USER\Software\{Username}914\{Random Numbers}
- {Random Numbers} = {Random Characters}
- {Random Numbers} = {Random Characters}
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools = "1"
- DisableRegistryTools = "1"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableTaskMgr = "0"
- DisableTaskMgr = "0"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {Chosen Program} = "{Path of Infected File}"
- {Chosen Program} = "{Path of Infected File}"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- {Chosen Program} = "{Path of Infected File}"
- {Chosen Program} = "{Path of Infected File}"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = "Explorer.exe {Infected File}.exe"
- Shell = "Explorer.exe {Infected File}.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares
- shared = "{Path of Malware Copy}"
- shared = "{Path of Malware Copy}"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NofolderOptions = "0"
- NofolderOptions = "0"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- EnableLUA = "0"
- EnableLUA = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\{Current Control Set}\Services\Schedule
- AtTaskMaxHours = "0"
- AtTaskMaxHours = "0"
手順 4
マルウェアが "SYSTEM.INI" に追加した以下の文字列を削除します。
手順 5
システムファイル SYSTEM.INI 内の以下の行を削除します。
REPLACE_THIS!!!
手順 6
Internet Explorer(IE)のセキュリティ設定を修正します。
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「PE_SALITY.EK-O」と検出したファイルの駆除を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 8
以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。
※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。
ご利用はいかがでしたか? アンケートにご協力ください