解析者: Karl Dominguez   
 プラットフォーム:

Windows 98, ME, NT, 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\karld.exe
  • %System%\karld.exe
  • %System%\karld.exe
  • %System%\karld.exe
  • %System%\karld.exe
  • %System%\karld.exe
  • %SYSTEM%\karld.exe

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
Type = 10

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
Start = 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
ErrorControl = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
ImagePath = %System%\{malware filename}.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
DisplayName = 222

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
ObjectName = LocalSystem

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Security
Security = {Hex Values}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Enum
0 = Root\LEGACY_111\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Enum
Count = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Enum
NextInstance = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
malimalimali = waaaaaaaaaaaaaaaahhhhh

HOSTSファイルの改変

マルウェアは、WindowsのHOSTSファイルに以下の文字列を追加します。

  • http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
  • http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
  • http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
  • http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
  • http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn

  対応方法

対応検索エンジン: 8.9

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

セーフモードでの再起動後、以下のレジストリキーを削除してください。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

RESTORE
  • レジストリエディタを閉じます。

    • 手順 3

    以下の修正パッチをダウンロードし適用します。この脆弱性に対する修正パッチを適用するまで、該当製品の使用をお控えください。この製品の製造元が公開する正式な修正パッチをダウンロードし適用することをお勧めします。

    手順 4

    不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。

    [ 詳細 ]
      DATA_GENERIC
    • ファイルを保存し、テキストエディタを閉じます。


      • ご利用はいかがでしたか? アンケートにご協力ください