Trend Micro Security

PE_SALITY.ENO

2015年4月10日
 解析者: Ryan Gardo   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ファイル感染型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


ウイルスは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。

  詳細

ファイルサイズ 237,568 bytes
タイプ EXE
発見日 2015年4月10日

インストール

ウイルスは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Windows%\dc.exe
  • %Windows%\SVIQ.exe
  • %Windows%\Help\Other.exe
  • %Windows%\system\Fun.exe
  • %Windows%\inf\Other.exe
  • %System%\WinSit.exe
  • %System%\config\Win.exe

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

ウイルスは、以下のファイルを作成します。

  • %System%\inf\svchost.exe
  • %Windows%\INETINFO.exe
  • %Windows%\wininit.ini

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

ウイルスは、以下のフォルダを作成します。

  • %System%\inf

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

自動実行方法

ウイルスは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Fun = "%Windows%\system\Fun.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
dc = "%Windows%\dc.exe"

他のシステム変更

ウイルスは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\inf\svchost.exe = "%System%\inf\svchost.exe:Enabledxpsp2res.dll,-22001"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Desktop%\{malware filename}.exe = "%Desktop%\{malware filename}.exe:Enabled:ipsec"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\eventchk
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\eventchk
ImagePath = "%System%\inf\svchost.exe"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\eventchk
DisplayName = "Windows Event Check"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

ウイルスは、インストールの過程で、以下のレジストリキーを追加します。

HKLM\SYSTEM\ControlSet001\
Services\eventchk

HKCU\Software\{OS Version}{Random Number}

ウイルスは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

(註:変更前の上記レジストリ値は、「"0"」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableTaskMgr = "1"

(註:変更前の上記レジストリ値は、「"0"」となります。)

感染活動

ウイルスは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。

その他

ウイルスは、以下の不正なWebサイトにアクセスします。

  • http://mattfoll.eu.{BLOCKED}a.pl/logos.gif?2824ea=15785340
  • http://mattfoll.eu.{BLOCKED}owo.pl/logos.gif?2824ea=15785340
  • http://macedonia.{BLOCKED}1.ru/logoh.gif?283eea=10550184
  • http://sosite_averi_{BLOCKED}ee.hahah?284b8d=18485467