解析者: Sabrina Lei Sioting   
 別名:

Exploit:Win32/ShellCode.gen!B (Microsoft), W32.Wapomi.C (Symantec), W32/Simfect.dr (McAfee), Trojan.Win32.Wapomi.AO (Sunbelt), Exploit.Win32.ShellCode (Ikarus), Win32/Wapomi.AO (Eset),

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    ファイル感染型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 リムーバブルドライブを介した感染活動, インターネットからのダウンロード, ファイルに感染

ウイルスは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を実行します。

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ウイルスは、作成されたファイルを実行します。

  詳細

ファイルサイズ 227,328 bytes
タイプ EXE
メモリ常駐 はい
発見日 2012年10月4日
ペイロード URLまたはIPアドレスに接続, プロセスの強制終了, ファイルの作成

侵入方法

ウイルスは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

他のシステム変更

ウイルスは、以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network

ファイル感染

ウイルスは、以下のファイルに感染します。

  • .exe
  • .exe inside .rar

ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を実行します。

感染活動

ウイルスは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • recycle.{CLSID}

ウイルスは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • recycle.{CLSID}\uninstall.exe

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
OPEN=recycle.{CLSID}\uninstall.exe
shell\open=´ò¿ª(&O)
shell\open\Command=recycle.{CLSID}\uninstall.exe Show
shell\open\Default=1
shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
shell\explore\Command=recycle.{CLSID}\uninstall.exe Show

プロセスの終了

ウイルスは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • 360tray.exe
  • Explorer.exe
  • KSafeTray.exe
  • MPMon.exe
  • MPSVC.exe
  • MPSVC1.exe
  • MPSVC2.exe
  • RavMonD.exe
  • RsAgent.exe

作成活動

ウイルスは、以下のファイルを作成します。

  • %System%\dmlocalsvc.dll - detected as TROJ_HORST.JY
  • %System%\{random}.sys - detected as RTKT_WAPOMI.AP, rootkit component used by this file infector to hide its files, registry entries, and processes

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

ウイルスは、以下のファイルを作成します。このファイルは、キー入力操作情報を収集するために利用されます。

  • %System Root%\Documents and Settings\Infotmp.txt

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ウイルスは、作成されたファイルを実行します。

ダウンロード活動

ウイルスは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

  • http://{BLOCKED}.sdo.com/announce?info_hash={characters}&peer_id={characters}&port={port}&uploaded={number}&downloaded={number}&left={number}&event=started&compact={number}&numwant={number}&no_peer_id={number}

HOSTSファイルの改変

ウイルスは、ユーザが以下のWebサイトにアクセスできないように、システムのHOSTSファイルを改変します。

  • 127.0.0.1 localhost

その他

ウイルスは、以下のWebサイトにアクセスしてインターネット接続を確認します。

  • www.baidu.com

ウイルスは、Webページに以下の iframeコードを挿入します。

  • .html
  • .htm
  • .asp
  • .aspx

  対応方法

対応検索エンジン: 9.700

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「PE_WAPOMI.S-O」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

     
    • TROJ_HORST.JY
    • RTKT_WAPOMI.AP

手順 3

スタートアップディスク、または、回復コンソールを用いて、「PE_WAPOMI.S-O」として検出されたファイルを確認し削除します。

[ 詳細 ]

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • {exe file}

手順 5

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 {drive leter}:\recycle.{CLSID}

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 %System Root%\Documents and Settings\Infotmp.txt

手順 7

「PE_WAPOMI.S-O」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。

[ 詳細 ]
  • [autorun]
  • OPEN=recycle.{CLSID}\uninstall.exe
  • shell\open=´ò¿ª(&O)
  • shell\open\Command=recycle.{CLSID}\uninstall.exe Show
  • shell\open\Default=1
  • shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
  • shell\explore\Command=recycle.{CLSID}\uninstall.exe Show

手順 8

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PE_WAPOMI.S-O」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 9

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

%System%\appmgmts.dll
%System%\qmgr.dll
%System%\shsvcs.dll
%System%\mspmsnsv.dll
%System%\xmlprov.dll
%System%\es.dll
%System%\ntmssvc.dll
%System%\upnphost.dll
%System%\ssdpsrv.dll
%System%\netman.dll
%System%\mswsock.dll
%System%\tapisrv.dll
%System%\browser.dll
%System%\cryptsvc.dll
%System%\pchsvc.dll
%System%\regsvc.dll
%System%\schedsvc.dll

%System%\drivers\etc\hosts


ご利用はいかがでしたか? アンケートにご協力ください