Virus.Win32.SALITY.RS
Virus:Win32/Sality.AT (MICROSOFT)
Windows
マルウェアタイプ:
ファイル感染型ウイルス
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ウイルスは、自身のコピーがWindows起動時に自動実行されるよう、<Common Startup>フォルダ内に自身のコピーを作成します。
ウイルスは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。 ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ウイルスは、Webサイトにアクセスし、ファイルをダウンロードします。これにより、感染コンピュータ上に他のマルウェアがダウンロードまたは作成されます。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ウイルスは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %AppDataLocal%\smss.exe
- %AppDataLocal%\services.exe
- %AppDataLocal%\lsass.exe
- %AppDataLocal%\inetinfo.exe
- %AppDataLocal%\csrss.exe
- %AppDataLocal%\winlogon.exe
- %System%\3D Animation.scr
- %User Profile%\Templates\A.kotnorB.com
- %Windows%\inf\norBtok.exe
ウイルスは、以下のファイルを作成します。
- %System%\drivers\{6 Random Characters}.sys
- %User Temp%\win{5 Random Characters 1}.exe ← ntkrnlpa.exe copy
- %User Temp%\win{5 Random Characters 2}.exe
- %System Root%\(6 Random Characters}.pif
- {All Available Drives}\autorun.inf
- {All Available Drives}\{5 Random Characters}.exe
- %AppDataLocal%\Kosong.Bron.Tok.txt
- %AppDataLocal%\Bron.tok.A3.em.bin ← Deleted afterwards
- %AppDataLocal%\Ok-SendMail-Bron-tok{email}.ini
- %AppDataLocal%\NetMailTmp.bin
- %AppDataLocal%\BronFoldNetDomList.txt ← Deleted afterwards
- %AppDataLocal%\BronNetDomList.bat ← Deleted afterwards
- %AppDataLocal%\BronNPath0.txt ← Deleted afterwards
- %AppDataLocal%\Update.AN3A.Bron.Tok.exe ← Deleted afterwards
- %AppDataLocal%\Update.AN3A.Bron.Tok.tempo.exe
- %AppDataLocal%\Update.3.Bron.Tok.bin ← Deleted afterwards
- %AppDataLocal%\BrontokInf.txt
- %User Profile%\Pictures\about.Brontok.A.html
- %AppDataLocal%\Loc.Mail.Bron.Tok\{email}.ini
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>" です。)
ウイルスは、以下のフォルダを作成します。
- %AppDataLocal%\Bron.tok-3-{Current Day}
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
ウイルスは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- uxJLpe1m ← For the malware itself
- {Process Name}M_{PID in Decimal} ← For all running processes
自動実行方法
ウイルスは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Tok-Cirrhatus = %AppDataLocal%\smss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Bron-Spizaetus = %Windows%\inf\norBtok.exe
ウイルスは、自身のコピーがWindows起動時に自動実行されるよう、<Common Startup>フォルダ内に以下のように自身のコピーを作成します。
- %User Profile%\Programs\Startup\Empty.pif
(註:%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>" です。)
この「スケジュールされたタスク」により、以下の時間ごとにウイルスが実行されます。
- 5:08 PM every day
他のシステム変更
ウイルスは、以下のファイルを削除します。
- %System%\drivers\{6 Random Characters}.sys
- %User Temp%\win{5 Random Characters 1}.exe ← ntkrnlpa.exe copy
- %User Temp%\win{5 Random Characters 2}.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
ウイルスは、"SYSTEM.INI" 内に以下の文字列を追加します。
- [mci]
- [MCIDRV_VER]
- DEVICEMB={Random Decimal Numbers}
ウイルスは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\{Derived from User Name}\
2033412880
{Derived from the first 4 letters of the User Name} = {Decimal Value}
HKEY_CURRENT_USER\Software\{Derived from User Name}\
2033412880
{Derived from the first 4 letters of the User Name} = {Hex Values}
ウイルスは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UacDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusOverride = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallOverride = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UpdatesDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UacDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = 0
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = 0
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableCMD = 0
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = 1
(註:変更前の上記レジストリ値は、「0」となります。)
ウイルスは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 2
(註:変更前の上記レジストリ値は、「1」となります。)
ウイルスは、以下のレジストリキーを削除します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Safeboot
ファイル感染
ウイルスは、以下の形式のファイルに感染します。
- .exe
- .scr
ウイルスは、以下のファイルには感染しません。
- Protected System Files
- Files in CD-ROM drives
感染活動
ウイルスは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {Removable Drive Letter}:\Data {username}.exe
ウイルスは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。
ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
Note: The order of autorun.inf strings may vary and may contain a combination of uppercase and lowercase letters
;{Garbage Characters}
[AutoRun]
;{Garbage Characters}
ShEll\OPeN\coMMaNd ={Random Characters}.{pif/exe}
;
Open={Random Characters}.{pif/exe}
;
shelL\ExPLorE\CommanNd={Random Characters}.{pif/exe}
shELl\Open\DefAUlT=1
;{Garbage Characters}
shell\aUToplay\CoMMANd ={Random Characters}.{pif/exe}
ウイルスは、SMTPサーバに以下の文字列を追記します。
- smtp.
- mail.
- ns1.
ウイルスは、以下の拡張子を持つファイルからEメールアドレスを収集します。
- .ASP
- .CFM
- .CSV
- .DOC
- .EML
- .HTM
- .HTML
- .PHP
- .TXT
- .WAB
プロセスの終了
ウイルスは、感染コンピュータ上で確認した以下のサービスを終了します。
- acssrv
- Agnitum Client Security Service
- ALG
- Amon monitor
- aswFsBlk
- aswMon2
- aswRdr
- aswSP
- aswTdi
- aswUpdSv
- AV Engine
- avast! Antivirus
- avast! Asynchronous Virus Monitor
- avast! iAVS4 Control Service
- avast! Mail Scanner
- avast! Self Protection
- avast! Web Scanner
- AVG E-mail Scanner
- Avira AntiVir Premium Guard
- Avira AntiVir Premium MailGuard
- Avira AntiVir Premium WebGuard
- AVP
- BGLiveSvc
- BlackICE
- CAISafe
- ccEvtMgr
- ccProxy
- ccSetMgr
- cmdAgent
- cmdGuard
- COMODO Firewall Pro Sandbox Driver
- Eset HTTP Server
- Eset Personal Firewall
- Eset Service
- F-Prot Antivirus Update Monitor
- fsbwsys
- FSDFWD
- F-Secure Gatekeeper Handler Starter
- FSMA
- Google Online Services
- InoRPC
- InoRT
- InoTask
- ISSVC
- KLIF
- KPF4
- LavasoftFirewall
- LIVESVR
- McAfeeFramework
- McShield
- McTaskManager
- MpsSvc
- navapsvc
- NOD32krn
- NPFMntor
- NSCService
- Outpost Firewall main module
- OutpostFirewall
- PAVFIRES
- PAVFNSVR
- PavProt
- PavPrSrv
- PAVSRV
- PcCtlCom
- PersonalFirewal
- PREVSRV
- ProtoPort Firewall service
- PSIMSVC
- RapApp
- SavRoam
- SharedAccess
- SmcService
- SNDSrv
- SPBBCSvc
- SpIDer FS Monitor for Windows NT
- SpIDer Guard File System Monitor
- SPIDERNT
- Symantec Antivirus
- Symantec AntiVirus Definition Watcher
- Symantec Core LC
- Symantec Password Validation
- Tmntsrv
- TmPfw
- UmxAgent
- UmxCfg
- UmxLU
- UmxPol
- vsmon
- VSSERV
- WebrootDesktopFirewallDataService
- WebrootFirewall
- wscsvc
- XCOMM
ウイルスは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- .dCFIAUDIT.
- A2CMD.
- A2FREE
- A2GUARD
- A2SERVICE.
- ADVCHK.
- AGB.
- AHPROCMONSERVER.
- AIRDEFENSE
- AKRNL.
- ALERTSVC
- AMON.
- ANTIVIR
- APVXDWIN.
- ARMOR2NET.
- ASHAVAST.
- ASHDISP.
- ASHENHCD.
- ASHMAISV.
- ASHPOPWZ.
- ASHSERV.
- ASHSIMPL.
- ASHSKPCK.
- ASHWEBSV.
- ASWSCAN
- ASWUPDSV.
- AVAST
- AVAST
- AVCENTER
- AVCIMAN.
- AVCONSOL.
- AVENGINE.
- AVESVC.
- AVEVAL.
- AVEVL32.
- AVGAM
- AVGCC.AVGCHSVX.
- AVGCC32.
- AVGCSRVX.
- AVGCTRL.
- AVGEMC.
- AVGFWSRV.
- AVGNSX.
- AVGNT.
- AVGNTMGR
- AVGSERV.
- AVGTRAY.
- AVGUARD.
- AVGUPSVC.
- AVGWDSVC.
- AVINITNT.
- AVIRA
- AVKSERV.
- AVKSERVICE.
- AVKWCTL.
- AVP.
- AVP32.
- AVPCC.
- AVPM.
- AVSCHED32.
- AVSERVER.
- AVSYNMGR.
- AVWUPD32.
- AVWUPSRV.
- AVXMONITOR
- AVXQUAR.
- AVZ.
- BDSWITCH.
- BITDEFENDER
- BLACKD.
- BLACKICE.
- CAFIX.
- CCEVTMGR.
- CCSETMGR.
- CFP.
- CFPCONFIG.
- CLAMTRAY.
- CLAMWIN.
- CUREIT
- DEFENDERDAEMON
- DEFWATCH.
- DRVIRUS.
- DRWADINS.
- DRWEB
- DWEBIO
- DWEBLLIO
- EKRN.
- ESCANH95.
- ESCANHNT.
- EWIDOCTRL.
- EZANTIVIRUSREGISTRATIONCHECK.
- F-AGNT95.
- FAMEH32.
- FILEMON
- FIREWALL
- FORTICLIENT
- FORTISCAN
- FORTITRAY.
- FPAVSERVER.
- FPROTTRAY.
- FPWIN.
- FRESHCLAM.
- FSAV32.
- FSAVGUI.
- FSBWSYS.
- F-SCHED.
- FSDFWD.
- FSGK32.
- FSGK32ST.
- FSGUIEXE.
- FSMA32.
- FSMB32.
- FSPEX.
- FSSM32.
- F-STOPW.
- GCASDTSERV.
- GCASSERV.
- GIANTANTISPYWARE
- GUARDGUI.
- GUARDNT.
- GUARDXKICKOFF.
- GUARDXSERVICE.
- HREGMON.
- HRRES.
- HSOCKPE.
- HUPDATE.
- IAMAPP.
- IAMSERV.
- ICLOAD95.
- ICLOADNT.
- ICMON.
- ICSSUPPNT.
- ICSUPP95.
- ICSUPPNT.
- INETUPD.
- INOCIT.
- INORPC.
- INORT.
- INOTASK.
- INOUPTNG.
- IOMON98.
- IPTRAY.
- ISAFE.
- ISATRAY.
- KAV.
- KAVMM.
- KAVPF.
- KAVPFW.
- KAVSTART.
- KAVSVC.
- KAVSVCUI.
- KMAILMON.
- MAMUTU
- MCAGENT.
- MCMNHDLR.
- MCREGWIZ.
- MCUPDATE.
- MCVSSHLD.
- MINILOG.
- MYAGTSVC.
- MYAGTTRY.
- NAVAPSVC.
- NAVAPW32.
- NAVLU32.
- NAVW32.
- NEOWATCHLOG.
- NEOWATCHTRAY.
- NISSERV
- NISUM.
- NMAIN.
- NOD32
- NORMIST.
- NOTSTART.
- NPAVTRAY.
- NPFMNTOR.
- NPFMSG.
- NPROTECT.
- NSCHED32.
- NSMDTR.
- NSSSERV.
- NSSTRAY.
- NTOS.
- NTRTSCAN.
- NTXCONFIG.
- NUPGRADE.
- NVCOD.
- NVCTE.
- NVCUT.
- NWSERVICE.
- OFCPFWSVC.
- ONLINENT.
- OP_MON.
- OPSSVC.
- OUTPOST
- PAVFIRES.
- PAVFNSVR.
- PAVKRE.
- PAVPROT.
- PAVPROXY.
- PAVPRSRV.
- PAVSRV51.
- PAVSS.
- PCCGUIDE.
- PCCIOMON.
- PCCNTMON.
- PCCPFW.
- PCCTLCOM.
- PCTAV.
- PERSFW.
- PERTSK.
- PERVAC.
- PESTPATROL
- PNMSRV.
- PREVSRV.
- PREVX
- PSIMSVC.
- QHONLINE.
- QHONSVC.
- QHSET.
- QHWSCSVC.
- QUHLPSVC.
- RFWMAIN.
- RTVSCAN.
- RTVSCN95.
- SALITY
- SAPISSVC.
- SAVADMINSERVICE.
- SAVMAIN.
- SAVPROGRESS.
- SAVSCAN.
- SCANNINGPROCESS.
- SCANWSCS.
- SDHELP.
- SDRA64.
- SHSTAT.
- SITECLI.
- SPBBCSVC.
- SPHINX.
- SPIDERCPL.
- SPIDERML.
- SPIDERNT.
- SPIDERUI.
- SPYBOTSD.
- SPYXX.
- SS3EDIT.
- STOPSIGNAV.
- SWAGENT.
- SWDOCTOR.
- SWNETSUP.
- SYMLCSVC.
- SYMPROXYSVC.
- SYMSPORT.
- SYMWSC.
- SYNMGR.
- TAUMON.
- TBMON.
- TMLISTEN.
- TMNTSRV.
- TMPROXY.
- TNBUTIL.
- TRJSCAN.
- TROJAN.
- VBA32ECM.
- VBA32IFS.
- VBA32LDR.
- VBA32PP3.
- VBSNTW.
- VCRMON.
- VPTRAY.
- VRFWSVC.
- VRMONNT.
- VRMONSVC.
- VRRW32.
- VSECOMR.
- VSHWIN32.
- VSMON.
- VSSERV.
- VSSTAT.
- WATCHDOG.
- WEBSCANX.
- WINSSNOTIFY.
- WRCTRL.
- XCOMMSVR.
- ZLCLIENT
- ZONEALARM
ダウンロード活動
ウイルスは、Webサイトにアクセスし、以下のファイルをダウンロードします。
- http://pelcpawel.fm.{BLOCKED}a.pl/logos.gif
- http://{BLOCKED}tara.com/logof.gif
- http://{BLOCKED}lie.com/images/logos.gif
- http://{BLOCKED}nt-eg.com/images/logosa.gif
- http://www.{BLOCKED}ogullari.com/logof.gif
- http://www.{BLOCKED}becreatives.com/logos.gif
- http://{BLOCKED}metgrup.com/images/logosa.gif
- http://{BLOCKED}uncil.ya.funpic.de/images/logos.gif
- http://{BLOCKED}asa.com/images/logos.gif
- http://{BLOCKED}..19.14/logo.gif
- http://{BLOCKED}ies.com/jowobot123/BrontokInf.txt
その他
ウイルスは、以下のサービスを追加し、実行します。
asmint32
ImagePath = %System%\drivers\{6 Random Characters}.sys
IpFilterDriver
ImagePath = %System%\drivers\ipfltdrv.sys
ウイルスは、以下を実行します。
- It restarts the system if the following strings are present in an existing window:
- .EXE
- BLEEPING
- CLEANER
- COMMAND PROMPT
- FAJARWEB
- GROUP POLICY
- HIJACK
- KILLBOX
- LOG OFF WINDOWS
- MOVZX
- PROCESS EXP
- REGISTRY
- REMOVER
- SCRIPT HOST
- SHUTDOWN
- SYSINTERNAL
- SYSTEM CONFIGURATION
- TASK KILL
- TASKKILL
- It distributes itself via email with the following file name:
- winword.exe
- kangen.exe
- ccapps.exe
- It may spoof the "From" field with the following email addresses:
- Berita_{email}@kafegaul.com
- GaulNews_{email}@kafegaul.com
- Movie_{email}@pornstargals.com
- HotNews_{email}@pornstargals.com
ただし、情報公開日現在、このWebサイトにはアクセスできません。
ウイルスは、ウインドウまたはクラスが、以下のいずれかの文字列を含んでいる場合、自身を終了します。
- .EXE
- BLEEPING
- CLEANER
- COMMAND PROMPT
- FAJARWEB
- GROUP POLICY
- HIJACK
- KILLBOX
- LOG OFF WINDOWS
- MOVZX
- PROCESS EXP
- REGISTRY
- REMOVER
- SCRIPT HOST
- SHUTDOWN
- SYSINTERNAL
- SYSTEM CONFIGURATION
- TASK KILL
- TASKKILL
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
セーフモード時のスケジュールタスクの削除方法
- セーフモードのまま、以下の{タスク名}-{実行するタスク}のリストを使用し、以下のステップで確認する必要があります。DATA_GENERIC
- Windows 7 および Server 2008 (R2) をご使用の場合は、[スタート] > [コンピューター] をクリックします。
- Windows 8、8.1、10、Server 2012をご使用の場合は、画面左下で右クリックし、「ファイルエクスプローラ」をクリックします。
- PCの検索欄に、次のように入力します。
- System%\Tasks\{タスク名}
- ファイルを選択し、SHIFT+DELETEキーを押して削除します。
- レジストリエディタを開き、以下を実行してください。
- Windows 7およびServer 2008(R2)をご使用の場合は、[スタート]ボタンをクリックし、[検索]入力フィールドに「regedit」と入力し、Enterキーを押します。
- Windows 8、8.1、10、およびServer 2012(R2)をご使用の場合は、画面の左下隅を右クリックし、[実行]をクリックして、テキストボックスに「regedit」と入力します。
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- 作成されたエントリを探し、レジストリ値のデータをメモする。
- ID={タスクデータ}
- データを記録した後、レジストリキーを削除します。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tasks
- 左側のパネルで、手順6で配置したTask Dataと同じ名前のレジストリキーを探して削除します。
- ={タスクデータ}
- レジストリエディタを閉じます。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\{Derived from User Name}\2033412880
- {Derived from the first 4 letters of the User Name} = {Decimal Value}
- {Derived from the first 4 letters of the User Name} = {Decimal Value}
- In HKEY_CURRENT_USER\Software\{Derived from User Name}\2033412880
- {Derived from the first 4 letters of the User Name} = {Hex Values}
- {Derived from the first 4 letters of the User Name} = {Hex Values}
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Tok-Cirrhatus = %AppDataLocal%\smss.exe
- Tok-Cirrhatus = %AppDataLocal%\smss.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Bron-Spizaetus = %Windows%\inf\norBtok.exe
- Bron-Spizaetus = %Windows%\inf\norBtok.exe
手順 5
不明なレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- HKEY_CURRENT_USER\Software\{Derived from User Name}\2033412880
手順 6
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- AntiVirusOverride = 1
- AntiVirusDisableNotify = 1
- FirewallDisableNotify = 1
- FirewallOverride = 1
- UpdatesDisableNotify = 1
- UacDisableNotify = 1
- AntiVirusOverride = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- AntiVirusOverride = 1
- AntiVirusDisableNotify = 1
- FirewallDisableNotify = 1
- FirewallOverride = 1
- UpdatesDisableNotify = 1
- UacDisableNotify = 1
- AntiVirusOverride = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- GlobalUserOffline = 0
- GlobalUserOffline = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLUA = 0
- EnableLUA = 0
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- EnableFirewall = 0
- DoNotAllowExceptions = 0
- DisableNotifications = 1
- EnableFirewall = 0
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD = 0
- DisableRegistryTools = 1
- DisableCMD = 0
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFolderOptions = 1
- NoFolderOptions = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden = 2
- Hidden = 2
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
- Safeboot
- Safeboot
手順 7
このマルウェアのサービスを無効にします。
- asmint32
手順 8
以下のファイルを検索し削除します。
- %AppDataLocal%\smss.exe
- %AppDataLocal%\services.exe
- %AppDataLocal%\lsass.exe
- %AppDataLocal%\inetinfo.exe
- %AppDataLocal%\csrss.exe
- %AppDataLocal%\winlogon.exe
- %System%\3D Animation.scr
- %User Profile%\Templates\A.kotnorB.com
- %Windows%\inf\norBtok.exe
- %User Profile%\Programs\Startup\Empty.pif
- %System%\drivers\{6 Random Characters}.sys
- %User Temp%\win{5 Random Characters 1}.exe
- %User Temp%\win{5 Random Characters 2}.exe
- %System Root%\(6 Random Characters}.pif
- {All Available Drives}\autorun.inf
- {All Available Drives}\{5 Random Characters}.exe
- %AppDataLocal%\Kosong.Bron.Tok.txt
- %AppDataLocal%\Bron.tok.A3.em.bin
- %AppDataLocal%\Ok-SendMail-Bron-tok{email}.ini
- %AppDataLocal%\NetMailTmp.bin
- %AppDataLocal%\BronFoldNetDomList.txt
- %AppDataLocal%\BronNetDomList.bat
- %AppDataLocal%\BronNPath0.txt
- %AppDataLocal%\Update.AN3A.Bron.Tok.exe
- %AppDataLocal%\Update.AN3A.Bron.Tok.tempo.exe
- %AppDataLocal%\Update.3.Bron.Tok.bin
- %AppDataLocal%\BrontokInf.txt
- %User Profile%\Pictures\about.Brontok.A.html
- %AppDataLocal%\Loc.Mail.Bron.Tok\{email}.ini
- {Removable Drive Letter}:\Data {Username}.exe
手順 9
以下のフォルダを検索し削除します。
- %AppDataLocal%\Bron.tok-3-{Current Day}
手順 10
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Virus.Win32.SALITY.RS」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください