Virus.Win32.SALITY.RZ

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ウイルスは、バックドア活動の機能を備えていません。

ウイルスは、情報収集する機能を備えていません。

ウイルスは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ウイルスは、以下のファイルを作成します。

• %Windows%\{Random Characters}
• %User Temp%\{Random Characters} → if %Windows%\{Random Characters} is not created
• %User Temp%\{Random Characters 1}.exe or %User Temp%\win{Random Characters 1}.exe → detected as TROJ_SALSTUB.A
• %User Temp%\{6 Random Characters}.exe → copy of ntkrnlpa.exe, deleted afterwards
• %System%\drivers\{6 Random characters}.sys → detected as RTKT_SALITY.RL, deleted afterwards
• {Available Drive Except for CD-ROM Drives}:\autorun.inf → file attribute set to HIDDEN and SYSTEM

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

ウイルスは、以下のプロセスを追加します。

• %User Temp%\{Random Characters 2}.exe or %User Temp%\win{Random Characters 2}.exe

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ウイルスは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• All running processes except for those created by the following account names:
  • SYSTEM
  • LOCAL SERVICE
  • NETWORK SERVICE

ウイルスは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• uxJLpe1m
• {Process Name}M_{Process ID} → For all current running processes in the system

他のシステム変更

ウイルスは、以下のファイルを削除します。

• Files with .exe extension in %User Temp%.

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ウイルスは、以下のフォルダを削除します。

• Folders with _Rar as folder name in %User Temp%.

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ウイルスは、"SYSTEM.INI" 内に以下の文字列を追加します。

• [mci]
  [MCIDRV_VER]
  DEVICEMB={Random Decimal Numbers}

ウイルスは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplication\
List
{Malware File Path}\{Malware File Name} = {Malware File Path}\{Malware File Name}:*:Enabled:ipsec

HKEY_CURRENT_USER\Software\{Generated Characters from First 4 Letters of Computer Name}
{Random Character}{Incrementing Number from 1 to 4}_{Incrementing Number from 0} = {Random Characters}

HKEY_CURRENT_USER\Software\{Generated Characters from First 4 Letters of Computer Name}\
{Random Numbers}
{Random Characters} = {Random Characters}

HKEY_CURRENT_USER\Software\{Generated Characters from First 4 Letters of Computer Name}\
{Random Numbers}
{Random Characters} = {Hex Value}

ウイルスは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
AntiVirusDisableNotify = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
FirewallDisableNotify = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
FirewallOverride = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
UpdatesDisableNotify = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
UacDisableNotify = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusOverride = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusDisableNotify = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallDisableNotify = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallOverride = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UpdatesDisableNotify = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UacDisableNotify = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = 0

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = 0

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = 1

(註：変更前の上記レジストリ値は、「0」となります。)

ウイルスは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\{Generated Characters from First 4 Letters of Computer Name}

HKEY_CURRENT_USER\Software\{Generated Characters from First 4 Letters of Computer Name}\
{Random Numbers}

ウイルスは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 2

(註：変更前の上記レジストリ値は、「1」となります。)

ウイルスは、以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\SafeBoot\{All Enumerated Subkeys}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\{All Enumerated Subkeys}

ファイル感染

ウイルスは、以下の形式のファイルに感染します。

• .EXE
• .SCR

ウイルスは、以下の文字列を含むフォルダには感染しません。

• C:\Windows
• SYSTEM

ウイルスは、ファイル名に以下の文字列を含むファイルには感染しません。

• AVPM
• A2GUARD
• A2CMD
• A2SERVICE
• A2FREE
• AVAST
• ADVCHK
• AGB
• AKRNL
• AHPROCMONSERVER
• AIRDEFENSE
• ALERTSVC
• AVIRA
• AMON
• TROJAN
• AVZ
• ANTIVIR
• APVXDWIN
• ARMOR2NET
• ASHAVAST
• ASHDISP
• ASHENHCD
• ASHMAISV
• ASHPOPWZ
• ASHSERV
• ASHSIMPL
• ASHSKPCK
• ASHWEBSV
• ASWUPDSV
• ASWSCAN
• AVCIMAN
• AVCONSOL
• AVENGINE
• AVESVC
• AVEVAL
• AVEVL32
• AVGAM
• AVGCC.AVGCHSVX
• AVGCSRVX
• AVGNSX
• AVGCC32
• AVGCTRL
• AVGEMC
• AVGFWSRV
• AVGNT
• AVCENTER
• AVGNTMGR
• AVGSERV
• AVGTRAY
• AVGUARD
• AVGUPSVC
• AVGWDSVC
• AVINITNT
• AVKSERV
• AVKSERVICE
• AVKWCTL
• AVP
• AVP32
• AVPCC
• AVAST
• AVSERVER
• AVSCHED32
• AVSYNMGR
• AVWUPD32
• AVWUPSRV
• AVXMONITOR
• AVXQUAR
• BDSWITCH
• BLACKD
• BLACKICE
• CAFIX
• BITDEFENDER
• CCEVTMGR
• CFP
• CFPCONFIG
• CCSETMGR
• CFIAUDIT
• CLAMTRAY
• CLAMWIN
• CUREIT
• DEFWATCH
• DRVIRUS
• DRWADINS
• DRWEB
• DEFENDERDAEMON
• DWEBLLIO
• DWEBIO
• ESCANH95
• ESCANHNT
• EWIDOCTRL
• EZANTIVIRUSREGISTRATIONCHECK
• F-AGNT95
• FAMEH32
• FILEMON
• FIREWALL
• FORTICLIENT
• FORTITRAY
• FORTISCAN
• FPAVSERVER
• FPROTTRAY
• FPWIN
• FRESHCLAM
• EKRN
• FSAV32
• FSAVGUI
• FSBWSYS
• F-SCHED
• FSDFWD
• FSGK32
• FSGK32ST
• FSGUIEXE
• FSMA32
• FSMB32
• FSPEX
• FSSM32
• F-STOPW
• GCASDTSERV
• GCASSERV
• GIANTANTISPYWARE
• GUARDGUI
• GUARDNT
• GUARDXSERVICE
• GUARDXKICKOFF
• HREGMON
• HRRES
• HSOCKPE
• HUPDATE
• IAMAPP
• IAMSERV
• ICLOAD95
• ICLOADNT
• ICMON
• ICSSUPPNT
• ICSUPP95
• ICSUPPNT
• IPTRAY
• INETUPD
• INOCIT
• INORPC
• INORT
• INOTASK
• INOUPTNG
• IOMON98
• ISAFE
• ISATRAY
• KAV
• KAVMM
• KAVPF
• KAVPFW
• KAVSTART
• KAVSVC
• KAVSVCUI
• KMAILMON
• MAMUTU
• MCAGENT
• MCMNHDLR
• MCREGWIZ
• MCUPDATE
• MCVSSHLD
• MINILOG
• MYAGTSVC
• MYAGTTRY
• NAVAPSVC
• NAVAPW32
• NAVLU32
• NAVW32
• NEOWATCHLOG
• NEOWATCHTRAY
• NISSERV
• NISUM
• NMAIN
• NOD32
• NORMIST
• NOTSTART
• NPAVTRAY
• NPFMNTOR
• NPFMSG
• NPROTECT
• NSCHED32
• NSMDTR
• NSSSERV
• NSSTRAY
• NTRTSCAN
• NTOS
• NTXCONFIG
• NUPGRADE
• NVCOD
• NVCTE
• NVCUT
• NWSERVICE
• OFCPFWSVC
• OUTPOST
• ONLINENT
• OPSSVC
• OP_MON
• PAVFIRES
• PAVFNSVR
• PAVKRE
• PAVPROT
• PAVPROXY
• PAVPRSRV
• PAVSRV51
• PAVSS
• PCCGUIDE
• PCCIOMON
• PCCNTMON
• PCCPFW
• PCCTLCOM
• PCTAV
• PERSFW
• PERTSK
• PERVAC
• PESTPATROL
• PNMSRV
• PREVSRV
• PREVX
• PSIMSVC
• QUHLPSVC
• QHONLINE
• QHONSVC
• QHWSCSVC
• QHSET
• RFWMAIN
• RTVSCAN
• RTVSCN95
• SALITY
• SAPISSVC
• SCANWSCS
• SAVADMINSERVICE
• SAVMAIN
• SAVPROGRESS
• SAVSCAN
• SCANNINGPROCESS
• SDRA64
• SDHELP
• SHSTAT
• SITECLI
• SPBBCSVC
• SPHINX
• SPIDERCPL
• SPIDERML
• SPIDERNT
• SPIDERUI
• SPYBOTSD
• SPYXX
• SS3EDIT
• STOPSIGNAV
• SWAGENT
• SWDOCTOR
• SWNETSUP
• SYMLCSVC
• SYMPROXYSVC
• SYMSPORT
• SYMWSC
• SYNMGR
• TAUMON
• TBMON
• TMLISTEN
• TMNTSRV
• TMPROXY
• TNBUTIL
• TRJSCAN
• VBA32ECM
• VBA32IFS
• VBA32LDR
• VBA32PP3
• VBSNTW
• VCRMON
• VPTRAY
• VRFWSVC
• VRMONNT
• VRMONSVC
• VRRW32
• VSECOMR
• VSHWIN32
• VSMON
• VSSERV
• VSSTAT
• WATCHDOG
• WEBSCANX
• WINSSNOTIFY
• WRCTRL
• XCOMMSVR
• ZLCLIENT
• ZONEALARM

ウイルスは、以下のファイルには感染しません。

• Protected System Files
• Files in CD-ROM drives

これは、トレンドマイクロの製品では、以下 により感染したファイルの検出名です。

• Virus.Win32.SALITY.RV.orig

感染活動

ウイルスは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。

• {Available Drive Except for CD-ROM Drives}:\{Random Characters}.{pif or exe}

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

;
[AutoRun]

;{Garbage Characters}
Shell\opEN\DefaulT=1
;{Garbage Characters}
OPEN =ptmisp.exe
;{Garbage Characters}
ShEll\open\cOmmaND = {Malware File Name}.{pif or exe}

;{Garbage Characters}
ShEll\explOre\cOmmaNd={Malware File Name}.{pif or exe}
;{Garbage Characters}
ShelL\AutoPlAY\CoMmaNd ={Malware File Name}.{pif or exe}
;{Garbage Characters}

バックドア活動

ウイルスは、バックドア活動の機能を備えていません。

ルートキット機能

ウイルスは、ルートキット機能を備えていません。

プロセスの終了

ウイルスは、感染コンピュータ上で確認した以下のサービスを終了します。

• AVP
• Agnitum Client Security Service
• ALG
• Amon monitor
• aswUpdSv
• aswMon2
• aswRdr
• aswSP
• aswTdi
• aswFsBlk
• acssrv
• AV Engine
• avast! iAVS4 Control Service
• avast! Antivirus
• avast! Mail Scanner
• avast! Web Scanner
• avast! Asynchronous Virus Monitor
• avast! Self Protection
• AVG E-mail Scanner
• Avira AntiVir Premium Guard
• Avira AntiVir Premium WebGuard
• Avira AntiVir Premium MailGuard
• BGLiveSvc
• BlackICE
• CAISafe
• ccEvtMgr
• ccProxy
• ccSetMgr
• COMODO Firewall Pro Sandbox Driver
• cmdGuard
• cmdAgent
• Eset Service
• Eset HTTP Server
• Eset Personal Firewall
• F-Prot Antivirus Update Monitor
• fsbwsys
• FSDFWD
• F-Secure Gatekeeper Handler Starter
• FSMA
• Google Online Services
• InoRPC
• InoRT
• InoTask
• ISSVC
• KPF4
• KLIF
• LavasoftFirewall
• LIVESRV
• McAfeeFramework
• McShield
• McTaskManager
• MpsSvc
• navapsvc
• NOD32krn
• NPFMntor
• NSCService
• Outpost Firewall main module
• OutpostFirewall
• PAVFIRES
• PAVFNSVR
• PavProt
• PavPrSrv
• PAVSRV
• PcCtlCom
• PersonalFirewal
• PREVSRV
• ProtoPort Firewall service
• PSIMSVC
• RapApp
• SharedAccess
• SmcService
• SNDSrvc
• SPBBCSvc
• SpIDer FS Monitor for Windows NT
• SpIDer Guard File System Monitor
• SPIDERNT
• Symantec Core LC
• Symantec Password Validation
• Symantec AntiVirus Definition Watcher
• SavRoam
• Symantec AntiVirus
• Tmntsrv
• TmPfw
• UmxAgent
• UmxCfg
• UmxLU
• UmxPol
• vsmon
• VSSERV
• WebrootDesktopFirewallDataService
• WebrootFirewall
• wscsvc
• XCOMM

ウイルスは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• AVPM
• A2GUARD
• A2CMD
• A2SERVICE
• A2FREE
• AVAST
• ADVCHK
• AGB
• AKRNL
• AHPROCMONSERVER
• AIRDEFENSE
• ALERTSVC
• AVIRA
• AMON
• TROJAN
• AVZ
• ANTIVIR
• APVXDWIN
• ARMOR2NET
• ASHAVAST
• ASHDISP
• ASHENHCD
• ASHMAISV
• ASHPOPWZ
• ASHSERV
• ASHSIMPL
• ASHSKPCK
• ASHWEBSV
• ASWUPDSV
• ASWSCAN
• AVCIMAN
• AVCONSOL
• AVENGINE
• AVESVC
• AVEVAL
• AVEVL32
• AVGAM
• AVGCC
• AVGCHSVX
• AVGCSRVX
• AVGNSX
• AVGCC32
• AVGCTRL
• AVGEMC
• AVGFWSRV
• AVGNT
• AVCENTER
• AVGNTMGR
• AVGSERV
• AVGTRAY
• AVGUARD
• AVGUPSVC
• AVGWDSVC
• AVINITNT
• AVKSERV
• AVKSERVICE
• AVKWCTL
• AVP
• AVP32
• AVPCC
• AVAST
• AVSERVER
• AVSCHED32
• AVSYNMGR
• AVWUPD32
• AVWUPSRV
• AVXMONITOR
• AVXQUAR
• BDSWITCH
• BLACKD
• BLACKICE
• CAFIX
• BITDEFENDER
• CCEVTMGR
• CFP
• CFPCONFIG
• CCSETMGR
• CFIAUDIT
• CLAMTRAY
• CLAMWIN
• CUREIT
• DEFWATCH
• DRVIRUS
• DRWADINS
• DRWEB
• DEFENDERDAEMON
• DWEBLLIO
• DWEBIO
• ESCANH95
• ESCANHNT
• EWIDOCTRL
• EZANTIVIRUSREGISTRATIONCHECK
• F-AGNT95
• FAMEH32
• FILEMON
• FIREWALL
• FORTICLIENT
• FORTITRAY
• FORTISCAN
• FPAVSERVER
• FPROTTRAY
• FPWIN
• FRESHCLAM
• EKRN
• FSAV32
• FSAVGUI
• FSBWSYS
• F-SCHED
• FSDFWD
• FSGK32
• FSGK32ST
• FSGUIEXE
• FSMA32
• FSMB32
• FSPEX
• FSSM32
• F-STOPW
• GCASDTSERV
• GCASSERV
• GIANTANTISPYWARE
• GUARDGUI
• GUARDNT
• GUARDXSERVICE
• GUARDXKICKOFF
• HREGMON
• HRRES
• HSOCKPE
• HUPDATE
• IAMAPP
• IAMSERV
• ICLOAD95
• ICLOADNT
• ICMON
• ICSSUPPNT
• ICSUPP95
• ICSUPPNT
• IPTRAY
• INETUPD
• INOCIT
• INORPC
• INORT
• INOTASK
• INOUPTNG
• IOMON98
• ISAFE
• ISATRAY
• KAV
• KAVMM
• KAVPF
• KAVPFW
• KAVSTART
• KAVSVC
• KAVSVCUI
• KMAILMON
• MAMUTU
• MCAGENT
• MCMNHDLR
• MCREGWIZ
• MCUPDATE
• MCVSSHLD
• MINILOG
• MYAGTSVC
• MYAGTTRY
• NAVAPSVC
• NAVAPW32
• NAVLU32
• NAVW32
• NEOWATCHLOG
• NEOWATCHTRAY
• NISSERV
• NISUM
• NMAIN
• NOD32
• NORMIST
• NOTSTART
• NPAVTRAY
• NPFMNTOR
• NPFMSG
• NPROTECT
• NSCHED32
• NSMDTR
• NSSSERV
• NSSTRAY
• NTRTSCAN
• NTOS
• NTXCONFIG
• NUPGRADE
• NVCOD
• NVCTE
• NVCUT
• NWSERVICE
• OFCPFWSVC
• OUTPOST
• ONLINENT
• OPSSVC
• OP_MON
• PAVFIRES
• PAVFNSVR
• PAVKRE
• PAVPROT
• PAVPROXY
• PAVPRSRV
• PAVSRV51
• PAVSS
• PCCGUIDE
• PCCIOMON
• PCCNTMON
• PCCPFW
• PCCTLCOM
• PCTAV
• PERSFW
• PERTSK
• PERVAC
• PESTPATROL
• PNMSRV
• PREVSRV
• PREVX
• PSIMSVC
• QUHLPSVC
• QHONLINE
• QHONSVC
• QHWSCSVC
• QHSET
• RFWMAIN
• RTVSCAN
• RTVSCN95
• SALITY
• SAPISSVC
• SCANWSCS
• SAVADMINSERVICE
• SAVMAIN
• SAVPROGRESS
• SAVSCAN
• SCANNINGPROCESS
• SDRA64
• SDHELP
• SHSTAT
• SITECLI
• SPBBCSVC
• SPHINX
• SPIDERCPL
• SPIDERML
• SPIDERNT
• SPIDERUI
• SPYBOTSD
• SPYXX
• SS3EDIT
• STOPSIGNAV
• SWAGENT
• SWDOCTOR
• SWNETSUP
• SYMLCSVC
• SYMPROXYSVC
• SYMSPORT
• SYMWSC
• SYNMGR
• TAUMON
• TBMON
• TMLISTEN
• TMNTSRV
• TMPROXY
• TNBUTIL
• TRJSCAN
• VBA32ECM
• VBA32IFS
• VBA32LDR
• VBA32PP3
• VBSNTW
• VCRMON
• VPTRAY
• VRFWSVC
• VRMONNT
• VRMONSVC
• VRRW32
• VSECOMR
• VSHWIN32
• VSMON
• VSSERV
• VSSTAT
• WATCHDOG
• WEBSCANX
• WINSSNOTIFY
• WRCTRL
• XCOMMSVR
• ZLCLIENT
• ZONEALARM
• Processes with the following loaded modules:
  • DWEBLLIO
  • DWEBIO

ダウンロード活動

ウイルスは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• http://{BLOCKED}dovertime.com/nb4?{Random Numbers} → as of this writing, the said site is inaccessible
• http://{BLOCKED}ucket.biz/nv4?{Random Numbers}

ウイルスは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\{Random Characters 2}.exe or %User Temp%\win{Random Characters 2}.exe → detected as Trojan.Win32.CLIPPER.VSNW14B25, deleted afterwards

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

情報漏えい

ウイルスは、情報収集する機能を備えていません。

その他

ウイルスは、以下のWebサイトにアクセスし、情報を送受信します。

• 0.0.0.0:{Random Port}
• 94.76.{BLOCKED}.{BLOCKED}:{BLOCKED}

ウイルスは、以下を実行します。

• It adds and runs the following services:
  • Service Name: amsint32
    Image Path = %System%\drivers\{6 Random Characters}.sys
  • Service Name: IpFilterDriver
    Image Path = %System%\drivers\ipfltdrv.sys
• It infects .exe files discovered under the following registry keys:
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
  • In HKEY_CURRENT_USER\Software\Classes\LocalSettings\Software\Microsoft\Windows\Shell\MuiCache
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、脆弱性を利用した感染活動を行いません。

<補足>
インストール

ウイルスは、以下のファイルを作成します。

• %Windows%\{ランダムな文字列}
• %User Temp%\{ランダムな文字列} → %Windows%\{ランダムな文字列}が作成されない場合
• %User Temp%\{ランダムな文字列 1}.exe または %User Temp%\win{ランダムな文字列 1}.exe → 「TROJ_SALSTUB.A」として検出される
• %User Temp%\{ランダムな6文字}.exe → ntkrnlpa.exeのコピー、後に削除される
• %System%\drivers\{ランダムな6文字}.sys → 「RTKT_SALITY.RL」として検出される、後に削除される
• {CD-ROMドライブ以外の利用可能なドライブ}:\autorun.inf → ファイル属性が隠しファイル属性（HIDDEN）およびシステムファイル属性（SYSTEM）に設定される

ウイルスは、以下のプロセスを追加します。

• %User Temp%\{ランダムな文字列 2}.exe または %User Temp%\win{ランダムな文字列 2}.exe

ウイルスは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• 以下のアカウント名によって作成されたプロセスを除く、実行中のすべてのプロセス：
  • SYSTEM
  • LOCAL SERVICE
  • NETWORK SERVICE

ウイルスは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• uxJLpe1m
• {プロセス名}M_{プロセスID} → 感染コンピュータ内で実行中のすべてのプロセス

他のシステム変更

ウイルスは、以下のファイルを削除します。

• %User Temp%内に存在するファイル拡張子「.exe」を持つファイル

ウイルスは、以下のフォルダを削除します。

• %User Temp%内に存在するフォルダ名が_Rarであるフォルダ

ファイル感染

ウイルスは、以下のファイルには感染しません。

• 保護されたシステムファイル
• CD-ROMドライブ内のファイル

これは、トレンドマイクロの製品では、以下 により感染したファイルの検出名です。

• Virus.Win32.SALITY.RV.orig

感染活動

ウイルスは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。

• {CD-ROMドライブ以外の利用可能なドライブ}:\{ランダムな文字列}.{pif または exe}

プロセスの終了

ウイルスは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• 以下の読み込まれたモジュールを使用しているプロセス
  • DWEBLLIO
  • DWEBIO

ダウンロード活動

ウイルスは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• http://{BLOCKED}dovertime.com/nb4?{ランダムな数字} → ただし、情報公開日現在、このWebサイトにはアクセスできません。
• http://{BLOCKED}ucket.biz/nv4?{ランダムな数字}

ウイルスは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\{ランダムな文字列 2}.exe または %User Temp%\win{ランダムな文字列 2}.exe → 「Trojan.Win32.CLIPPER.VSNW14B25」として検出される、後に削除される

その他

ウイルスは、以下を実行します。

• 以下のサービスを追加して実行します。
  • サービス名： amsint32
    画像パス = %System%\drivers\{ランダムな6文字}.sys
  • サービス名： IpFilterDriver
    画像パス = %System%\drivers\ipfltdrv.sys
• 以下のレジストリキー配下で確認された.exeファイルに感染します。
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache配下
  • HKEY_CURRENT_USER\Software\Classes\LocalSettings\Software\Microsoft\Windows\Shell\MuiCache配下
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run配下
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run配下