Trend Micro Security

PE_PIKORAV.SM-O

2019年5月9日
 解析者: Christopher Daniel So   
 更新者 : Sabrina Lei Sioting
 プラットフォーム:

Windows 98, ME, NT, 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ファイル感染型
  • 破壊活動の有無: はい
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 ファイルに感染, リムーバブルドライブを介した感染活動, インターネットからのダウンロード, 他のマルウェアからの作成

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を実行します。

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ウイルスは、実行後、自身を削除します。

  詳細

ファイルサイズ 不定
タイプ PE
メモリ常駐 はい
発見日 2011年7月26日
ペイロード サービスの無効, ファイルの作成, HOSTSファイルの改変

侵入方法

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ウイルスは、以下のファイルを作成します。

  • %System Root%\Documents and Settings\Infotmp.txt

(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

ウイルスは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

  • svchost.exe

他のシステム変更

ウイルスは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{Service name}\
000
Service = "{Service name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{Application name}
Debugger = "ntsd -d"

ウイルスは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{Service name}

ウイルスは、以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AppMgmt
=

<アプリケーション名>には以下のいずれかが該当します。

  • 360SoftMgrSvc.exe
  • 360hotfix.exe
  • 360rp.exe
  • 360rpt.exe
  • 360safe.exe
  • 360safebox.exe
  • 360sd.exe
  • 360se.exe
  • 360speedld.exe
  • 360tray.exe
  • CCenter.exe
  • KVMonXP.kxp
  • KVSrvXP.exe
  • MPMon.exe
  • MPSVC.exe
  • MPSVC1.exe
  • MPSVC2.exe
  • McNASvc.exe
  • McProxy.exe
  • McSACore.exe
  • Mcagent.exe
  • Mcods.exe
  • Mcshield.exe
  • MpfSrv.exe
  • RavMonD.exe
  • RavTask.exe
  • RsAgent.exe
  • RsTray.exe
  • ScanFrm.exe
  • SfCtlCom.exe
  • TMBMSRV.exe
  • TmProxy.exe
  • UfSeAgnt.exe
  • ast.exe
  • avcenter.e
  • avgnt.exe
  • avguard.exe
  • avmailc.exe
  • avp.exe
  • avwebgrd.exe
  • bdagent.exe
  • ccSvcHst.exe
  • egui.exe
  • ekrn.exe
  • kavstart.exe
  • kissvc.exe
  • kmailmon.exe
  • kpfw32.exe
  • kpfwsvc.exe
  • krnl360svc.exe
  • kswebshield.exe
  • kwatch.exe
  • livesrv.exe
  • mcmscsvc.exe
  • mcsysmon.exe
  • mcvsshld.exe
  • msksrver.exe
  • qutmserv.exe
  • rsnetsvr.exe
  • safeboxTray.exe
  • sched.exe
  • seccenter.exe
  • vsserv.exe
  • zhudongfangyu.exe

ファイル感染

ウイルスは、以下の形式のファイルに感染します。

  • .EXE
  • .EXE files inside a .RAR

ウイルスが感染活動する際、ネットワーク共有フォルダ内の以下のファイル形式のファイルに感染します。

  • .EXE
  • .EXE files inside .RAR

ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を実行します。

ウイルスは、以下の文字列を含むフォルダには感染しません。

  • ComPlus Applications
  • Common Files
  • Documents and Settings
  • InstallShield Installation Information
  • Internet Explorer
  • MSN Gaming Zone
  • Messenger
  • Microsoft frontpage
  • Movie Maker
  • NetMeeting
  • Outlook Express
  • RECYCLER
  • System Volume Information
  • Thunder
  • Thunder Network
  • WINDOWS
  • WinNT
  • WinRAR
  • Windows Media Player
  • Windows NT
  • WindowsUpdate

感染活動

ウイルスは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • recycle.{645FF040-5081-101B-9F08-00AA002F954E}

ウイルスは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe
shell\open=´ò¿ª(&O)
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show
shell\open\Default=1//
shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show

作成活動

ウイルスは、以下のファイルを作成します。

HOSTSファイルの改変

ウイルスは、以下のディレクトリにあるHOSTSファイルを改変します。

  • %System%\drivers\etc\host (Windows 2000、XP、Server 2003の場合)

その他

ウイルスは、実行後、自身を削除します。

<補足>
作成活動

ウイルスは、以下のファイルを作成します。

注意:

このファイル感染型ウイルスはWindowsシステムファイルチェッカー(SFC)を無効にします。

ウイルスは、以下のサービスを停止して、それらを自身のコピーに置き換えようと試みます。自身のコピーのファイル名は、置き換えられるサービスのファイル名に基づきます。

  • 6to4 (6to4.dll)
  • AppMgmt (appmgmts.dll)
  • BITS (qmgr.dll)
  • Browser (browser.dll)
  • CryptSvc (cryptsvc.dll)
  • EventSystem (es.dll)
  • FastUserSwitchingCompatibility (shsvcs.dll)
  • helpsvc (pchsvc.dll)
  • Ias (ias.dll)
  • Iprip (iprip.dll)
  • Irmon (irmon.dll)
  • Netman (netman.dll)
  • Nla (mswsock.dll)
  • Ntmssvc (ntmssvc.dll)
  • NWCWorkstation (NWCWorkstation.dll)
  • Nwsapagent (Nwsapagent.dll)
  • RemoteRegistry (regsvc.dll)
  • Schedule (schedsvc.dll)
  • SSDPSRV (ssdpsrv.dll)
  • Tapisrv (tapisrv.dll)
  • upnphost (upnphost.dll)
  • WmdmPmSN (mspmsnsv.dll)
  • WmdmPmSp (WmdmPmSp.dll)
  • xmlprov (xmlprov.dll)

上記のサービス名は、以下のレジストリキーの作成に使用されます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{Service name}

  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 8.312.09
初回 VSAPI パターンリリース日 2011年7月26日
VSAPI OPR パターンバージョン 8.313.00
VSAPI OPR パターンリリース日 2011年7月27日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「PE_PIKORAV.SM-O」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)

    RTKT_AGENT.SMB

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\{Application name}
    • Debugger = "ntsd -d"

手順 5

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
    • LEGACY_{Service name}

手順 6

以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。

※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt

手順 7

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 {drive letter}\recycle.{645FF040-5081-101B-9F08-00AA002F954E}

手順 8

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 %System Root%\Documents and Settings\Infotmp.txt

手順 9

「PE_PIKORAV.SM-O」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。

[ 詳細 ]
[autorun]
OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe
shell\open=´ò¿ª(&O)
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show
shell\open\Default=1//
shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show

手順 10

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「PE_PIKORAV.SM-O」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 11

以下の削除されたファイルをバックアップを用いて修復します。

※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみに修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

%System%driversetchost (On Windows NT, 2000, XP, and Server 2003)
%Windows%host.sam (on Windows 98 and ME)

手順 12

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PE_PIKORAV.SM-O」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください

関連マルウェア