XPAJ
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
ファイル感染型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
「XPAJ」は、2009年より知られているファイル感染型ウイルスのファミリです。メインの目的は、感染したユーザをクリック詐欺に誘導して、作成者のために利益を挙げることです。ウイルスは、マップされたドライブや共有フォルダを介して拡散する機能を備えており、感染率を大幅に上昇させています。
感染したコンピュータの「マスター・ブート・レコード、the Master Boot Record (MBR)」に感染する「XPAJ」もあります。この機能により、感染したコンピュータの起動する際、オペレーティングシステム(OS)が起動する前でも、「XPAJ」を起動することができます。
自身のサーバがオンライン状態であることを確保するために、ウイルスは197のURLを生成し、いつでも動作可能な状態にします。つまりウイルスは、サイバー犯罪者への継続したキャッシュ・フローを作り出すということです。
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
自動実行方法
ウイルスは、以下のファイルを作成します。
- %Windows%\{random file name}.{random 3 letters} - minimum of 9 files
(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)
プロセスの終了
ウイルスは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- avp.exe
- avgnt.exe
- avguard.exe
- sched.exe
- avastui.exe
- ccsvchst.exe
- avgcsrvx.exe
- avgnsx.exe
- avgrsx.exe
- avgtray.exe
- avgwdsvc.exe
- egui.exe
その他
ウイルスは、以下のWebサイトにアクセスしてインターネット接続を確認します。
- microsoft.com
ウイルスは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}.{BLOCKED}.162.208
- {BLOCKED}.{BLOCKED}.152.218
- {BLOCKED}.{BLOCKED}.71.249
- {BLOCKED}.{BLOCKED}.60.108
- {BLOCKED}.{BLOCKED}.123.153
- {BLOCKED}.{BLOCKED}.132.25
- {BLOCKED}.{BLOCKED}.183.224
- {BLOCKED}.{BLOCKED}.204.90
- {BLOCKED}iok.info
- {BLOCKED}c.com
- {BLOCKED}v.com
- {BLOCKED}tss.info
- {BLOCKED}ifhrf.net
- {BLOCKED}kowab.ru
- {BLOCKED}elertiong.com
- {BLOCKED}andraeffect.com
- {BLOCKED}xw.ru
- {BLOCKED}naf.ru
- {BLOCKED}ppsfm.org
- {BLOCKED}r.info
- {BLOCKED}bkxfn.biz
- {BLOCKED}hpte.com
- {BLOCKED}e.ru
- {BLOCKED}fbxrzn.com
- {BLOCKED}etobob.biz
- {BLOCKED}mullpy.info
- {BLOCKED}th.info
- {BLOCKED}medescriptor.com
- {BLOCKED}sncki.info
- {BLOCKED}hyjku.net
- {BLOCKED}mpyzh.net
- {BLOCKED}hez.com
- {BLOCKED}knddy.com
- {BLOCKED}vaweonearch.com
- {BLOCKED}qyhqtb.org
- {BLOCKED}gnfvhz.ru
- {BLOCKED}l.ru
- {BLOCKED}cut.biz
- {BLOCKED}pq.info
- {BLOCKED}eucnd.biz
- {BLOCKED}o.net
- {BLOCKED}ront.net
- {BLOCKED}rando.com
- {BLOCKED}minestar.org
- {BLOCKED}sysho.com
- {BLOCKED}niolosto.com
- {BLOCKED}usiceditior.com
このファイル感染型ウイルスは、ファイル内にコードを組み込むことにより、以下のファイルの拡張子を持つファイルに感染します。
- .SCR
- .SYS
- .DLL
- .EXE
ウイルスは、感染したコンピュータの「マスター・ブート・レコード、the Master Boot Record (MBR)」に感染し以下を実行します。
- コンピュータが起動される毎に、「PE_XPAJ.C-O」を自動的に読み込む
- 複数のセキュリティ対策製品の終了する
- ブラウザにコードを組み込み、暗号化されたファイルをダウンロードする
ウイルスはまた、接続先ドメイン名生成の仕組みである「Domain Generation Algorithm(DGA)」を利用して、197のURLを生成し、接続します。
改変されたMBRは、「BOOT_XPAJ.SM」として検出されます。