PE_SALITY.JER
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
ファイル感染型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。 ウイルスは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
ウイルスは、特定のレジストリ値を変更し、セキュリティセンター機能を無効にします。これにより、ウイルスは自身を検出されることなく不正活動を実行することが可能になります。 ウイルスは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。 ウイルスは、レジストリ値を変更し、システムファイルおよび読み取り専用属性のファイルを非表示にします。
ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を実行します。
ウイルスは、すべてのリムーバブルドライブ内に自身のコピーを作成します。 ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ウイルスは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。
詳細
侵入方法
ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。
ウイルスは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
他のシステム変更
ウイルスは、"SYSTEM.INI" 内に以下の文字列を追加します。
- [MCIDRV_VER]
- DEVICEMB={random numbers}
ウイルスは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\{user name}914
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\FWCFG
ウイルスは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"
ウイルスは、以下のレジストリ値を変更し、セキュリティセンター機能を無効にします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UacDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"
ウイルスは、以下のレジストリ値を追加し、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableRegistryTools = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableTaskMgr = "1"
ウイルスは、以下のレジストリ値を変更し、システムファイルおよび読み取り専用属性のファイルを非表示にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"
(註:変更前の上記レジストリ値は、「1」となります。)
ウイルスは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name}.exe = "{malware path and file name}.exe:*:Enabled:ipsec"
ファイル感染
ウイルスは、以下の形式のファイルに感染します。
- .EXE
- .SCR
ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を実行します。
ウイルスは、以下の文字列を含むフォルダには感染しません。
- AHEAD
- SYSTEM
感染活動
ウイルスは、すべてのリムーバブルドライブ内に自身のコピーを作成します。
ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[AutoRun]
;{random characters}
;{random characters}
sheLl\opeN\cOmmand ={malware file name}.exe
;{random characters}
ShelL\ExploRe\ComManD ={malware file name}.exe
sheLl\oPEn\DefauLt=1
;{random characters}
oPEN = {malware file name}.exe
;{random characters}
sheLl\AUtoplAy\ComMaND ={malware file name}.exe
;{random characters}
HOSTSファイルの改変
ウイルスは、ユーザが以下のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。
- 82.165.237.14
- 82.165.250.33
- avp.com
- ca.com
- casablanca.cz
- customer.symantec.com
- d-eu-1f.kaspersky-labs.com
- d-eu-1h.kaspersky-labs.com
- d-eu-2f.kaspersky-labs.com
- d-eu-2h.kaspersky-labs.com
- d-ru-1f.kaspersky-labs.com
- d-ru-1h.kaspersky-labs.com
- d-ru-2f.kaspersky-labs.com
- d-ru-2h.kaspersky-labs.com
- d-us-1f.kaspersky-labs.com
- d-us-1h.kaspersky-labs.com
- d66.myleftnut.info
- dispatch.mcafee.com
- download.mcafee.com
- downloads-us1.kaspersky.com
- downloads1.kaspersky.com
- downloads1.kaspersky.ru
- downloads2.kaspersky.ru
- downloads3.kaspersky.ru
- downloads4.kaspersky.ru
- downloads5.kaspersky.ru
- eset.casablanca.cz
- eset.com
- f-secure.com
- kaspersky-labs.com
- kaspersky.com
- liveupdate.symantec.com
- liveupdate.symantecliveupdate.com
- mast.mcafee.com
- mcafee.com
- metalhead2005.info
- my-etrust.com
- nai.com
- networkassociates.com
- nod32.com
- norton.com
- rads.mcafee.com
- secure.nai.com
- securityresponse.symantec.com
- sophos.com
- symantec.com
- trendmicro.com
- u2.eset.com
- u3.eset.com
- u4.eset.com
- u7.eset.com
- update.symantec.com
- updates-us1.kaspersky.com
- updates.symantec.com
- updates1.kaspersky.com
- updates2.kaspersky.com
- updates3.kaspersky.com
- us.mcafee.com
- viruslist.com
- www.avp.com
- www.ca.com
- www.eset.com
- www.f-secure.com
- www.kaspersky.com
- www.mcafee.com
- www.microsoft.com
- www.my-etrust.com
- www.nai.com
- www.networkassociates.com
- www.nod32.com
- www.norton.com
- www.sophos.com
- www.symantec.com
- www.trendmicro.com
- www.viruslist.com
ウイルスは、以下のレジストリ値を作成し、Windowsのファイアウォールを無効にします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
DoNotAllowExceptions = "0"
ウイルスは、以下のレジストリキー下にリスト化されている実行ファイルに感染します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ウイルスは、感染コンピュータ内で確認したネットワーク共有フォルダ内に自身のコピーを作成します。またウイルスは、自身が自動実行するように、同じネットワーク共有フォルダ内に "AUTORUN.INF" を作成します。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
以下の変更されたレジストリ値を VBScript を用いて修正します。
変更されたレジストリ値の修正:
- 「メモ帳」を起動します。
» Windows 2000 および Windows XP、Windows Server 2003の場合、[スタート]-[ファイル名を指定して実行]を選択し、"notepad" と入力し、[OK]をクリックします。
» Windows Vista および Windows 7の場合、[スタート]-[プログラムとファイルの検索]を選択し、"notepad" と入力し、[Enter]キーを押します。
※"notepad" は半角英数字で入力する必要があります。(大文字/小文字は区別されません)。 - 以下のスクリプトをコピーおよびペーストします。
- このファイルを "C:\RESTORE.VBS" として保存します。
- "C:\RESTORE.VBS" を実行します。
» For Windows 2000, XP, and Server 2003 users, click Start>Run. In the Open input box, type C:\RESTORE.VBS then press Enter.
» Windows 2000 および Windows XP、Windows Server 2003の場合、[スタート]-[ファイル名を指定して実行]を選択し、"C:\RESTORE.VBS" と入力し、[OK]をクリックします。
» Windows Vista および Windows 7の場合、[スタート]-[プログラムとファイルの検索]を選択し、"C:\RESTORE.VBS" と入力し、[Enter]キーを押します。
※"notepad" は半角英数字で入力する必要があります。(大文字/小文字は区別されません)。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- GlobalUserOffline = "0"
- GlobalUserOffline = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- EnableFirewall = "0"
- EnableFirewall = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- DoNotAllowExceptions = "0"
- DoNotAllowExceptions = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- {malware path and file name}.exe = "{malware path and file name}.exe:*:Enabled:ipsec"
- {malware path and file name}.exe = "{malware path and file name}.exe:*:Enabled:ipsec"
手順 5
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software
- {user name}914
- {user name}914
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- Svc
- Svc
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
- FWCFG
- FWCFG
手順 6
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: AntiVirusDisableNotify = "1"
To: AntiVirusDisableNotify = ""
- From: AntiVirusDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: AntiVirusOverride = "1"
To: AntiVirusOverride = "0"
- From: AntiVirusOverride = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: FirewallDisableNotify = "1"
To: FirewallDisableNotify = ""
- From: FirewallDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: FirewallOverride = "1"
To: FirewallOverride = ""
- From: FirewallOverride = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: UacDisableNotify = "1"
To: UacDisableNotify = ""
- From: UacDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: UpdatesDisableNotify = "1"
To: UpdatesDisableNotify = ""
- From: UpdatesDisableNotify = "1"
手順 7
不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。
- 82.165.237.14
82.165.250.33
avp.com
ca.com
casablanca.cz
customer.symantec.com
d-eu-1f.kaspersky-labs.com
d-eu-1h.kaspersky-labs.com
d-eu-2f.kaspersky-labs.com
d-eu-2h.kaspersky-labs.com
d-ru-1f.kaspersky-labs.com
d-ru-1h.kaspersky-labs.com
d-ru-2f.kaspersky-labs.com
d-ru-2h.kaspersky-labs.com
d-us-1f.kaspersky-labs.com
d-us-1h.kaspersky-labs.com
d66.myleftnut.info
dispatch.mcafee.com
download.mcafee.com
downloads-us1.kaspersky.com
downloads1.kaspersky.com
downloads1.kaspersky.ru
downloads2.kaspersky.ru
downloads3.kaspersky.ru
downloads4.kaspersky.ru
downloads5.kaspersky.ru
eset.casablanca.cz
eset.com
f-secure.com
kaspersky-labs.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
metalhead2005.info
my-etrust.com
nai.com
networkassociates.com
nod32.com
norton.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
u2.eset.com
u3.eset.com
u4.eset.com
u7.eset.com
update.symantec.com
updates-us1.kaspersky.com
updates.symantec.com
updates1.kaspersky.com
updates2.kaspersky.com
updates3.kaspersky.com
us.mcafee.com
viruslist.com
www.avp.com
www.ca.com
www.eset.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.nod32.com
www.norton.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
手順 8
「PE_SALITY.JER」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。
;{random characters}
;{random characters}
sheLl\opeN\cOmmand ={malware file name}.exe
;{random characters}
ShelL\ExploRe\ComManD ={malware file name}.exe
sheLl\oPEn\DefauLt=1
;{random characters}
oPEN = {malware file name}.exe
;{random characters}
sheLl\AUtoplAy\ComMaND ={malware file name}.exe
;{random characters}
手順 9
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「PE_SALITY.JER」と検出したファイルの駆除を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
註:以下の手順で、このマルウェアが "SYSTEM.INI" に追加した以下の文字列を削除します。
- [MCIDRV_VER]
- DEVICEMB={random numbers}
"SYSTEM.INI" を削除します。
- "SYSTEM.INI" を開きます。
- Windows 2000、Windows XP および Windows Server 2003 の場合
[スタート]-[ファイル名を指定して実行]を選択し、"SYSTEM.INI" と入力し、[Enter]キーを押します。
※"SYSTEM.INI" は半角英数字で入力する必要があります(大文字/小文字は区別されません)。 - Windows Vista および Windows 7 の場合
[スタート]-[検索の開始]を選択し、"SYSTEM.INI" と入力し、[Enter]キーを押します。
※"SYSTEM.INI" は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
"SYSTEM.INI" は、デフォルトで使用するテキストエディタ(通常は、「メモ帳」)に開きます。
- 以下を確認し、削除します。
- [MCIDRV_VER]
- DEVICEMB={random numbers}
- "SYSTEM.INI" を閉じ、保存します。
ご利用はいかがでしたか? アンケートにご協力ください