PE_VBAC.A
Virus:Win32/Sality.R (Microsoft); W32/Bacalid.gen (McAfee); W32.Bacalid.B!inf (Symantec); Worm.Win32.Detnat.e (Kaspersky); Worm/Generic.BCC.dropper (AVG)
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: ファイル感染型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
他のシステム変更
ウイルスは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\SOFTWARE\CyberLink\
VGASPEED
HKEY_CURRENT_USER\SOFTWARE\CyberLink\
VGASPEED\2000\{random key}
ウイルスは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED
DONT_SHOW_AGAIN = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
VGA_TESTRESULT = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
DIRECTX_VERSION_M = "53"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
DIRECTX_VERSION_L = "a28884"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
TESTER_VERSION = "7d"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
DISPLAY_DRIVER_DESC = "VMware SVGA II"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
DRIVER_VERSION_M = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
DRIVER_VERSION_L = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
CAPS = "8468c"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
CKEY_CAPS = "1"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
FX_CAPS = "2a8"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
CAPS2 = "48"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
SRC_SIZE = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
SRC_BOUNDARY = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
DST_SIZE = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
DST_BOUNDARY = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
MIN_FACTOR = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
MAX_FACTOR = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
MAX_OVERLAYS = "2"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
TOTAL_VIDEO_MEM = "4"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
NUM_FOURCC = "3"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
FOURCC0 = "59565955"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
FOURCC1 = "32595559"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
FOURCC2 = "32315659"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
67112960 = "fffffff"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
67112960 = "1"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
67117056 = "fffffff"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
67117056 = "1"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
67125248 = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
1677754368 = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
67174400 = "fffffff"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
67174400 = "2"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
335548416 = "fffffff"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
335548416 = "1124"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
335552512 = "fffffff"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
335552512 = "16bf"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
335560704 = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
335577088 = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
335609856 = "fffffff"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
335609856 = "113f"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
285216768 = "fffffff"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
285216768 = "169"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
285220864 = "fffffff"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
285220864 = "1199"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
285229056 = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
285245440 = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
285278208 = "fffffff"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
285278208 = "1f1d"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
402657280 = "fffffff"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
402657280 = "1f7a"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
402661376 = "fffffff"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
402661376 = "1b34"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
402669568 = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
402685952 = "0"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
402718720 = "fffffff"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
402718720 = "11142"
HKEY_CURRENT_USER\Software\CyberLink\
VGASPEED\2000\{random key}
VGA_TESTRESULT = "1"
ウイルスは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectDraw\MostRecentApplication
Name = "{malware file name}"
(註:変更前の上記レジストリ値は、「iexplore.exe」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectDraw\MostRecentApplication
ID = "747c283f"
(註:変更前の上記レジストリ値は、「41107b81」となります。)
作成活動
ウイルスは、以下のファイルを作成します。
- %User Temp%\VGod.DLL
- %System%\vcmgcd32.dl_
- %System Root%\KUKU300a
(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
その他
ウイルスは、以下の不正なWebサイトにアクセスします。
- http://www.{BLOCKED}ustnet7.info/?id78281tkob7019&rnd=80875
- http://www.{BLOCKED}1ongung.info/?id78281tkob7019&rnd=89718
- http://www.{BLOCKED}vns3sdsal.info/mrow309/?id78281tkob7019&rnd=90125
- http://www.{BLOCKED}kkk4d.info/mrow309/?id78281tkob7019&rnd=90406
- http://www.{BLOCKED}nd2kdnc.info/mrow309/?id78281tkob7019&rnd=90531
- http://www.{BLOCKED}rwlsdn34fgv.info/mrow309/?id78281tkob7019&rnd=92062
- http://www.{BLOCKED}123ncs.info/mrow309/?id78281tkob7019&rnd=92343
- http://www.{BLOCKED}ustnet.org/?id78281tkob7019&rnd=92656
- http://www.{BLOCKED}ustnet7.com/?id78281tkob7019&rnd=92984
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\SOFTWARE\CyberLink
- VGASPEED
- In HKEY_CURRENT_USER\SOFTWARE\CyberLink\VGASPEED\2000
- {random key}
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- GlobalUserOffline = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED
- DONT_SHOW_AGAIN = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- VGA_TESTRESULT = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- DIRECTX_VERSION_M = "53"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- DIRECTX_VERSION_L = "a28884"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- TESTER_VERSION = "7d"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- DISPLAY_DRIVER_DESC = "VMware SVGA II"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- DRIVER_VERSION_M = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- DRIVER_VERSION_L = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- CAPS = "8468c"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- CKEY_CAPS = "1"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- FX_CAPS = "2a8"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- CAPS2 = "48"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- SRC_SIZE = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- SRC_BOUNDARY = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- DST_SIZE = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- DST_BOUNDARY = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- MIN_FACTOR = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- MAX_FACTOR = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- MAX_OVERLAYS = "2"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- TOTAL_VIDEO_MEM = "4"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- NUM_FOURCC = "3"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- FOURCC0 = "59565955"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- FOURCC1 = "32595559"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- FOURCC2 = "32315659"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 67112960 = "fffffff"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 67112960 = "1"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 67117056 = "fffffff"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 67117056 = "1"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 67125248 = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 1677754368 = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 67174400 = "fffffff"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 67174400 = "2"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 335548416 = "fffffff"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 335548416 = "1124"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 335552512 = "fffffff"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 335552512 = "16bf"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 335560704 = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 335577088 = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 335609856 = "fffffff"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 335609856 = "113f"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 285216768 = "fffffff"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 285216768 = "169"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 285220864 = "fffffff"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 285220864 = "1199"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 285229056 = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 285245440 = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 285278208 = "fffffff"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 285278208 = "1f1d"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 402657280 = "fffffff"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 402657280 = "1f7a"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 402661376 = "fffffff"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 402661376 = "1b34"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 402669568 = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 402685952 = "0"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 402718720 = "fffffff"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- 402718720 = "11142"
- In HKEY_CURRENT_USER\Software\CyberLink\VGASPEED\2000\{random key}
- VGA_TESTRESULT = "1"
手順 4
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication
- From: Name = "{malware file name}"
To: Name = ""iexplore.exe""
- From: Name = "{malware file name}"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication
- From: ID = "747c283f"
To: ID = ""41107b81""
- From: ID = "747c283f"
手順 5
以下のファイルを検索し削除します。
- %User Temp%\VGod.DLL
- %System%\vcmgcd32.dl_
- %System Root%\KUKU300a
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「PE_VBAC.A」と検出したファイルの駆除を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください