PE_SALITY.ENO
Windows
マルウェアタイプ:
ファイル感染型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ウイルスは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。
詳細
インストール
ウイルスは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Windows%\dc.exe
- %Windows%\SVIQ.exe
- %Windows%\Help\Other.exe
- %Windows%\system\Fun.exe
- %Windows%\inf\Other.exe
- %System%\WinSit.exe
- %System%\config\Win.exe
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
ウイルスは、以下のファイルを作成します。
- %System%\inf\svchost.exe
- %Windows%\INETINFO.exe
- %Windows%\wininit.ini
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
ウイルスは、以下のフォルダを作成します。
- %System%\inf
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
自動実行方法
ウイルスは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Fun = "%Windows%\system\Fun.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
dc = "%Windows%\dc.exe"
他のシステム変更
ウイルスは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\inf\svchost.exe = "%System%\inf\svchost.exe:Enabledxpsp2res.dll,-22001"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Desktop%\{malware filename}.exe = "%Desktop%\{malware filename}.exe:Enabled:ipsec"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\eventchk
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\eventchk
ImagePath = "%System%\inf\svchost.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\eventchk
DisplayName = "Windows Event Check"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"
ウイルスは、インストールの過程で、以下のレジストリキーを追加します。
HKLM\SYSTEM\ControlSet001\
Services\eventchk
HKCU\Software\{OS Version}{Random Number}
ウイルスは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"
(註:変更前の上記レジストリ値は、「"0"」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableTaskMgr = "1"
(註:変更前の上記レジストリ値は、「"0"」となります。)
感染活動
ウイルスは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。
その他
ウイルスは、以下の不正なWebサイトにアクセスします。
- http://mattfoll.eu.{BLOCKED}a.pl/logos.gif?2824ea=15785340
- http://mattfoll.eu.{BLOCKED}owo.pl/logos.gif?2824ea=15785340
- http://macedonia.{BLOCKED}1.ru/logoh.gif?283eea=10550184
- http://sosite_averi_{BLOCKED}ee.hahah?284b8d=18485467