解析者: Andrei Castillo   
 別名:

W32/Sality.AA(Fortinet), Virus:Win32/Sality.AM(Microsoft), Win32/Sality.NAR virus(NOD32), W32/Autorun.worm.ev(McAfee)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、特定のレジストリ値を追加し、タスクマネージャを無効にします。これにより、通常はタスクマネージャを介して行うワームのプロセスの終了が実行できなくなります。

ワームは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、Internet Explorer(IE)のゾーン設定を変更します。

  詳細

ファイルサイズ 1,470,908 bytes
タイプ EXE
発見日 2012年9月12日

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

  • {removable drive letter}:\lbmxc.cmd
  • %System%\{random folder name}\{malware filename}.exe
  • %System%\{random folder name}\{random filename}.{random extensions}
  • %Windows%\LastGood\INF\oem13.inf
  • %Windows%\LastGood\INF\oem13.PNF
  • %Windows%\inf\oem13.inf
  • %Windows%\inf\oem13.PNF

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKLM\Software\Microsoft\
Windows\CurrentVersion\Run
{malware filename} = "%System%\{random number}\{malware filename}.exe

ワームは、Windows起動時に自動実行されるよう<スタートアップ>フォルダ内に以下のファイルを作成します。

  • {malware filename}.lnk

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKCU\Software\{username}{random numbers}

HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
system

ワームは、以下のレジストリキーを変更します。

HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableRegistryTools = "1"

(註:変更前の上記レジストリ値は、「"0"」となります。)

HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

(註:変更前の上記レジストリ値は、「"1"」となります。)

HKLM\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
Enablefirewall = "0"

(註:変更前の上記レジストリ値は、「"1"」となります。)

HKLM\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = "0"

(註:変更前の上記レジストリ値は、「"1"」となります。)

ワームは、以下のレジストリ値を追加し、タスクマネージャを無効にします。

HKCU\Software\Microsoft\
Windows\CurrentVersionPolicies\system
DisableTaskMgr = "1"

ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKCU\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKLM\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{application path and filename} = "{application path and filename}:*:Enabled:ipsec"

ワームは、以下のレジストリキーを削除します。

HKLM\SYSTEM\CurrentControlSet\
Control\SafeBoot

HKLM\SYSTEM\CurrentControlSet\
Services\ALG

感染活動

ワームは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、ネットワーク共有フォルダ内の以下のファイルタイプのファイルに感染し、ネットワークを介して感染活動をします。

  • EXE

Webブラウザのホームページおよび検索ページの変更

ワームは、IEのゾーン設定を変更します。

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • http://ahmed2981982.{BLOCKED}e.com
  • http://{BLOCKED}amui.com
  • http://www.{BLOCKED}amui.com
  • http://lyceumbv.{BLOCKED}z.cz
  • http://e.{BLOCKED}z.cz
  • http://{BLOCKED}lic.net
  • http://{BLOCKED}p.net
  • http://{BLOCKED}oe.net
  • http://www.{BLOCKED}lcrossing.com
  • http://towlie123.to.{BLOCKED}c.de
  • http://www.{BLOCKED}l.de