PE_SALITY.EK-O

2013年8月16日

解析者: Jennifer Gumban

別名:

Worm:Win32/Nuqel.Z (Microsoft), Virus.Win32.Sality.gen (Kaspersky)

プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: ファイル感染型
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成, フラッシュドライブを介した感染活動

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ウイルスは、既定のWindowsフォルダのアイコンを用いて、ユーザにファイルを開くよう促します。ユーザがファイルをダブルクリックすることで、このウイルスは実行されます。

ウイルスは、特定のレジストリ値を追加し、タスクマネージャを無効にします。これにより、通常はタスクマネージャを介して行うウイルスのプロセスの終了が実行できなくなります。

ウイルスは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。

ウイルスは、Internet Explorer（IE）のゾーン設定を変更します。

詳細

ファイルサイズ不定

タイプ EXE

メモリ常駐はい

発見日 2013年8月5日

ペイロード URLまたはIPアドレスに接続, ファイルの作成

侵入方法

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ウイルスは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

Op1mutx9
{Process Name}M_{Random Number}_ - Mutex is terminated immediately

自動実行方法

ウイルスは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Chosen Program} = "{Path of Infected File}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Chosen Program} = "{Path of Infected File}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe {Infected File}.exe"

ウイルスは、自身のコピーがWindows起動時に自動実行されるように、"SYSTEM.INI" に以下の値または文字列を追加します。

[Autorun]
Open={Infected File}.exe
Shellexecute={Infected File}.exe
Shell\Open\command={Infected File}.exe
Shell=Open

他のシステム変更

ウイルスは、"SYSTEM.INI" 内に以下の文字列を追加します。

[MCIDRV_VER]
DEVICEMB={Random Numbers}

ウイルスは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Shares
shared = "{Path of Malware Copy}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NofolderOptions = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SYSTEM\{Current Control Set}\
Services\Schedule
AtTaskMaxHours = "0"

ウイルスは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\{Username}914
{%1st Letter of Username%}{Num}_{Num} = "{DWORD}"

HKEY_CURRENT_USER\Software\{Username}914\
{Random Numbers}
{Random Numbers} = {Random Characters}

ウイルスは、以下のレジストリ値を追加し、タスクマネージャを無効にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "0"

ウイルスは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\{Current Control Set}\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{Original Malware File Path} = "{Original Malware File Path}:*:Enabled:ipsec"

ファイル感染

ウイルスは、以下の形式のファイルに感染します。

.EXE
.SCR

感染活動

ウイルスは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。

プロセスの終了

ウイルスは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

_AVPM.
A2GUARD.
AAVSHIELD.
ADVCHK.
AHNSD.
AIRDEFENSE
ALERTSVC
ALMON.
ALOGSERV
ALSVC.
AMON.
ANTI-TROJAN.
ANTIVIR
ANTS.
APVXDWIN.
ARMOR2NET.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWUPDSV.
ATCON.
ATUPDATER.
ATWATCH.
AUPDATE.
AUTODOWN.
AUTOTRACE.
AUTOUPDATE.
AVAST
AVAST
AVAST
AVCIMAN.
AVCONSOL.
AVENGINE.
AVGAMSVR.
AVGCC.
AVGCC32.
AVGCTRL.
AVGEMC.
AVGFWSRV.
AVGNT.
AVGNTDD
AVGNTMGR
AVGSERV.
AVGUARD.
AVGUPSVC.
AVINITNT.
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP32.
AVPCC.
AVPM.
AVSCHED32.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR9X.
AVXMONITORNT.
AVXQUAR.
BACKWEB-4476822.
BDMCON.
BDNEWS.
BDOESRV.
BDSS.
BDSUBMIT.
BDSWITCH.
BLACKD.
BLACKICE.
CAFIX.
CCAPP.
CCEVTMGR.
CCPROXY.
CCSETMGR.
CFIAUDIT.
CLAMTRAY.
CLAMWIN.
CLAW95.
CLAW95CF.
CLEANER.
CLEANER3.
CLISVC.
CMGRDIAN.
CUREIT
CUREIT.
DEFWATCH.
DOORS.
DRVIRUS.
DRWADINS.
DRWEB32W.
DRWEBSCD.
DRWEBUPW.
ESCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
F-PROT95.
F-SCHED.
F-STOPW.
FAMEH32.
FAST.
FCH32.
FILEMON
FIRESVC.
FIRETRAY.
FIREWALL.
FPAVUPDM.
FRESHCLAM.
FSAV32.
FSAVGUI.
FSBWSYS.
FSDFWD.
FSGK32.
FSGK32ST.
FSGUIEXE.
FSM32.
FSMA32.
FSMB32.
FSPEX.
FSSM32.
GCASDTSERV.
GCASSERV.
GIANTANTISPYWAREMAIN.
GIANTANTISPYWAREUPDATER.
GUARDGUI.
GUARDNT.
HREGMON.
HRRES.
HSOCKPE.
HUPDATE.
IAMAPP.
IAMSERV.
ICLOAD95.
ICLOADNT.
ICMON.
ICSSUPPNT.
ICSUPP95.
ICSUPPNT.
IFACE.
INETUPD.
INOCIT.
INORPC.
INORT.
INOTASK.
INOUPTNG.
IOMON98.
ISAFE.
ISATRAY.
ISRV95.
ISSVC.
KAVMM.
KAVPF.
KAVPFW.
KAVSTART.
KAVSVC.
KAVSVCUI.
KMAILMON.
KPFWSVC.
KWATCH.
LOCKDOWN2000.
LOGWATNT.
LUALL.
LUCOMSERVER.
LUUPDATE.
MCAGENT.
MCMNHDLR.
MCREGWIZ.
MCUPDATE.
MCVSSHLD.
MINILOG.
MYAGTSVC.
MYAGTTRY.
NAVAPSVC.
NAVAPW32.
NAVLU32.
NAVW32.
NEOWATCHLOG.
NEOWATCHTRAY.
NISSERV
NISUM.
NMAIN.
NOD32
NOD32.
NORMIST.
NOTSTART.
NPAVTRAY.
NPFMNTOR.
NPFMSG.
NPROTECT.
NSCHED32.
NSMDTR.
NSSSERV.
NSSTRAY.
NTRTSCAN.
NTXCONFIG.
NUPGRADE.
NVC95.
NVCOD.
NVCTE.
NVCUT.
NWSERVICE.
OFCPFWSVC.
OUTPOST.
PAVFIRES.
PAVFNSVR.
PAVKRE.
PAVPROT.
PAVPROXY.
PAVPRSRV.
PAVSRV51.
PAVSS.
PCCGUIDE.
PCCIOMON.
PCCNTMON.
PCCPFW.
PCCTLCOM.
PCTAV.
PERSFW.
PERTSK.
PERVAC.
PNMSRV.
POP3TRAP.
POPROXY.
PREVSRV.
PSIMSVC.
QHM32.
QHONLINE.
QHONSVC.
QHPF.
QHWSCSVC.
RAVMON.
RAVTIMER.
REALMON.
REALMON95.
RFWMAIN.
RTVSCAN.
RTVSCN95.
RULAUNCH.
SAVADMINSERVICE.
SAVMAIN.
SAVPROGRESS.
SAVSCAN.
SCAN32.
SCANNINGPROCESS.
SDHELP.
SHSTAT.
SITECLI.
SPBBCSVC.
SPHINX.
SPIDERML.
SPIDERNT.
SPIDERUI.
SPYBOTSD.
SPYXX.
SS3EDIT.
STOPSIGNAV.
SWAGENT.
SWDOCTOR.
SWNETSUP.
SYMLCSVC.
SYMPROXYSVC.
SYMSPORT.
SYMWSC.
SYNMGR.
TAUMON.
TBMON.
TDS-3.
TEATIMER.
TFAK.
THAV.
THSM.
TMAS.
TMLISTEN.
TMNTSRV.
TMPFW.
TMPROXY.
TNBUTIL.
TRJSCAN.
UP2DATE.
VBA32ECM.
VBA32IFS.
VBA32LDR.
VBA32PP3.
VBSNTW.
VCHK.
VCRMON.
VETTRAY.
VIRUSKEEPER.
VPTRAY.
VRFWSVC.
VRMONNT.
VRMONSVC.
VRRW32.
VSECOMR.
VSHWIN32.
VSMON.
VSSERV.
VSSTAT.
WATCHDOG.
WEBPROXY.
WEBSCANX.
WEBTRAP.
WGFE95.
WINAW32.
WINROUTE.
WINSS.
WINSSNOTIFY.
WRADMIN.
WRCTRL.
XCOMMSVR.
ZATUTOR.
ZAUINST.
ZLCLIENT.
ZONEALARM.

Webブラウザのホームページおよび検索ページの変更

ウイルスは、IEのゾーン設定を変更します。

ダウンロード活動

ウイルスは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

http://{BLOCKED}.67.154/testo5/
http://{BLOCKED}nfo.co.kr/picassa.dat
http://{BLOCKED}ustnet777.info/home.gif
http://{BLOCKED}ustnet777.info/home.gif
http://{BLOCKED}ustnet987.info/home.gif
http://{BLOCKED}ustnet888.info/home.gif

その他

ウイルスは、以下のWebサイトにアクセスして不正なファイルをダウンロードします。

http://www.{BLOCKED}fqwieluoi.info/
http://{BLOCKED}7638dfqwieuoi.info/
http://{BLOCKED}.{BLOCKED}.ua/mainh.gif
http://{BLOCKED}nia.{BLOCKED}1.ru/mainh.gif
http://{BLOCKED}x.ru/logos.gif
http://{BLOCKED}o.com/logos.gif
http://{BLOCKED}gital.com/dumper/backup/fmain.gif
http://{BLOCKED}vcfds677.info
http://{BLOCKED}egood24.com
http://{BLOCKED}ctchoice1.com
http://{BLOCKED}ddt.net
http://{BLOCKED}ash.net
http://{BLOCKED}ash.net
http://{BLOCKED}-frn.net
http://{BLOCKED}ash.net
http://{BLOCKED}cash.net
http://{BLOCKED}kewo7i487fksd.info
http://{BLOCKED}96.info

対応方法

対応検索エンジン: 9.300

初回 VSAPI パターンバージョン 10.214.07

初回 VSAPI パターンリリース日 2013年8月13日

VSAPI OPR パターンバージョン 10.215.00

VSAPI OPR パターンリリース日 2013年8月14日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「PE_SALITY.EK-O」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。
検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\{Username}914
- {%1st Letter of Username%}{Num}_{Num} = "{DWORD}"
In HKEY_CURRENT_USER\Software\{Username}914\{Random Numbers}
- {Random Numbers} = {Random Characters}
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools = "1"
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableTaskMgr = "0"
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {Chosen Program} = "{Path of Infected File}"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- {Chosen Program} = "{Path of Infected File}"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = "Explorer.exe {Infected File}.exe"
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares
- shared = "{Path of Malware Copy}"
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NofolderOptions = "0"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- EnableLUA = "0"
In HKEY_LOCAL_MACHINE\SYSTEM\{Current Control Set}\Services\Schedule
- AtTaskMaxHours = "0"

このマルウェアが追加したレジストリ値の削除：

「レジストリエディタ」を起動します。
[スタート]-[ファイル名を指定して実行]を選択し、"regedit" と入力し、[OK]をクリックします。
※"regedit" は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>{Username}914
右側のパネルで以下のレジストリ値を検索し、削除します。
{%1st Letter of Username%}{Num}_{Num} = "{DWORD}"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>{Username}914>{Random Numbers}
右側のパネルで以下のレジストリ値を検索し、削除します。
{Random Numbers} = {Random Characters}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>System
右側のパネルで以下のレジストリ値を検索し、削除します。
DisableRegistryTools = "1"
右側のパネルで以下のレジストリ値を検索し、削除します。
DisableTaskMgr = "0"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
右側のパネルで以下のレジストリ値を検索し、削除します。
{Chosen Program} = "{Path of Infected File}"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
右側のパネルで以下のレジストリ値を検索し、削除します。
{Chosen Program} = "{Path of Infected File}"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Winlogon
右側のパネルで以下のレジストリ値を検索し、削除します。
Shell = "Explorer.exe {Infected File}.exe"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>WorkgroupCrawler>Shares
右側のパネルで以下のレジストリ値を検索し、削除します。
shared = "{Path of Malware Copy}"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Explorer
右側のパネルで以下のレジストリ値を検索し、削除します。
NofolderOptions = "0"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>policies>system
右側のパネルで以下のレジストリ値を検索し、削除します。
EnableLUA = "0"
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SYSTEM>{Current Control Set}>Services>Schedule
右側のパネルで以下のレジストリ値を検索し、削除します。
AtTaskMaxHours = "0"
「レジストリエディタ」を閉じます。

手順 4

マルウェアが "SYSTEM.INI" に追加した以下の文字列を削除します。

[ 詳細 ]

[MCIDRV_VER] DEVICEMB={Random Numbers}

手順 5

システムファイル SYSTEM.INI 内の以下の行を削除します。

[ 詳細 ]

REPLACE_THIS!!!

手順 6

Internet Explorer（IE）のセキュリティ設定を修正します。

[ 詳細 ]

手順 7

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「PE_SALITY.EK-O」と検出したファイルの駆除を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 8

以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。

※註：マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。

ご利用はいかがでしたか？　アンケートにご協力ください