Trend Micro Security

PE_XPAJ.C

2012年10月22日
 解析者: Erika Bianca Mendoza   
 更新者 : Christopher Daniel So
 別名:

Virus:Win32/Xpaj.B (Microsoft), W32/Xpaj.c (McAfee), W32.Xpaj.B (Symantec)

 プラットフォーム:

Windows 2000, Windows, XP, Windows Server 2003, Windows Vista, Windows 7

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ファイル感染型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成, ファイルに感染

トレンドマイクロは、このウイルスをNoteworthy(要注意)に分類しました。

ウイルスは、2012年10月、オーストラリアおよび他の国々のユーザに影響を与えたマルウェアファミリの一部です。ウイルスは、ファイル感染に加え、感染コンピュータの「マスター・ブート・レコード(MBR)」にも感染し、自身がWindow起動時に自動実行されるようにします。また、これにより、検出が困難になります。

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ウイルスは、上記ファイルにコードを挿入し、特定のファイル形式に感染します。 ウイルスは、感染したコンピュータの「マスター・ブート・レコード(MBR)」に感染します。

  詳細

ファイルサイズ 不定
タイプ EXE
メモリ常駐 はい
発見日 2011年11月30日
ペイロード URLまたはIPアドレスに接続, システムセキュリティへの感染活動, プロセスの強制終了

侵入方法

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ファイル感染

ウイルスは、上記のファイルにコードを挿入し、以下の拡張子を持つファイルに感染します。

  • DLL
  • EXE
  • SCR
  • SYS

ウイルスは、感染したコンピュータのMBRに感染して、以下の活動を実行します。

  • terminate several AV processes
  • inject code to browser to download encrypted files
  • automatically load PE_XPAJ.C-O every time the system boots.

プロセスの終了

ウイルスは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • avp.exe
  • avgnt.exe
  • avguard.exe
  • sched.exe
  • avastui.exe
  • ccsvchst.exe
  • avgcsrvx.exe
  • avgnsx.exe
  • avgrsx.exe
  • avgtray.exe
  • avgwdsvc.exe
  • egui.exe

その他

ウイルスは、以下のWebサイトにアクセスしてインターネット接続を確認します。

  • microsoft.com

ウイルスは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}.{BLOCKED}.162.208:35516
  • {BLOCKED].{BLOCKED}.152.218:35516
  • {BLOCKED}.{BLOCKED}.71.249:35516
  • {BLOCKED}.{BLOCKED}.60.108:35516
  • {BLOCKED}.{BLOCKED}.123.153:35516
  • {BLOCKED}.{BLOCKED}.132.25:35516
  • {BLOCKED}.{BLOCKED}.183.224:35516
  • {BLOCKED}.{BLOCKED}.204.90:80
  • {BLOCKED}biok.info
  • {BLOCKED}c.com
  • {BLOCKED}kv.com
  • {BLOCKED}tss.info
  • {BLOCKED}ifhrf.net
  • {BLOCKED}kowab.ru
  • {BLOCKED}elertiong.com
  • {BLOCKED}xw.ru
  • {BLOCKED}naf.ru
  • {BLOCKED}ppsfm.org
  • {BLOCKED}r.info
  • {BLOCKED}j.info
  • {BLOCKED}bkxfn.biz
  • {BLOCKED}hpte.com
  • {BLOCKED}e.ru
  • {BLOCKED}fbxrzn.com
  • {BLOCKED}etobob.biz
  • {BLOCKED}mullpy.info
  • {BLOCKED}th.info
  • {BLOCKED}medescriptor.com
  • {BLOCKED}sncki.info
  • {BLOCKED}hyjku.net
  • {BLOCKED}mpyzh.net
  • {BLOCKED}hez.com
  • {BLOCKED}knddy.com
  • {BLOCKED}vaweonearch.com
  • {BLOCKED}qyhqtb.org
  • {BLOCKED}gnfvhz.ru
  • {BLOCKED}l.ru
  • {BLOCKED}cut.biz
  • {BLOCKED}pq.info
  • {BLOCKED}eucnd.biz
  • {BLOCKED}o.net
  • {BLOCKED}ront.net
  • {BLOCKED}rando.com
  • {BLOCKED}minestar.org
  • {BLOCKED}sysho.com
  • {BLOCKED}niolosto.com
  • {BLOCKED}usiceditior.com

ウイルスが感染したコンピュータのMBRに感染して、実行する活動は、以下のとおりです。

  • さまざまなセキュリティソフトの終了
  • ブラウザにコードを組み込み、暗号化されたファイルのダウンロード
  • コンピュータを起動する度に「PE_XPAJ.C-O」を自動で読み込み

ウイルスは、複数の暗号化された複数のファイルをダウンロードします。ウイルスは、ダウンロードしたファイルを以下のように保存します。解析中、少なくとも9つの暗号化されたファイルがダウンロードされました。これらのファイルは、ファイルへや「マスター・ブート・レコード(MBR)」への感染活動を行います。

  • %Windows%\<ランダムなファイル名>.<ランダムな3文字>

ウイルスは、「Domain Generation Algorithm (DGA)」と呼ばれるドメイン生成の手法を用いて197のWebサイトを作成し、アクセスします。

ウイルスは、Windowsにおける64ビットのバージョンでも実行します。

ウイルスは、メインとなるマルウェアコードの実行する数は、1日において固有の感染ファイルにつき、1つだけを維持します。

変更されたMBRは、以下として検出されます。

  対応方法

対応検索エンジン: 9.300
初回 VSAPI パターンバージョン 8.615.00
初回 VSAPI パターンリリース日 2011年11月30日
VSAPI OPR パターンバージョン 9.475.00
VSAPI OPR パターンリリース日 2012年10月21日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「PE_XPAJ.C」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「PE_XPAJ.C」と検出したファイルの駆除を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Windows%\{random file name}.{random 3 letters}

手順 5

Master Boot Record(MBR)を修復します。

Master Boot Record(MBR)の修復:

• Windows 2000、XP および Server 2003 の場合

  1. 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行してください。検出したパス名およびファイル名を確認し、メモ等をとってください。
  2. Windows のインストール CD を使用して、コンピュータを再起動します。
  3. [セットアップへようこそ] 画面で、修復の R キーを押します。
    註: Windows 2000 の場合、R キーを入力後 C キーを入力し、[修復オプション]から[回復コンソール]を選択します。)
  4. 修復する Windows がインストールされているドライブを選択します(通常は "1" を選択します)。.
  5. 管理者のパスワードを入力し、Enter を押します。管理者パスワードがない場合は、何も入力せずに Enter を押します。
  6. コマンドプロンプトに、上記で確認したマルウェアが検出されたドライブ名を入力します。
  7. 以下のコマンドを入力し、Enter を押します。
    fixmbr <感染したドライブ>

    8.  ※"fixmbr" と "<感染したドライブ>" の間に半角スペースを入れてください。

     ※"<感染したドライブ>" とは、このマルウェアが感染したブータブル・ドライブのことです。ドライブが特定できない場合、プライマリ・ブート・ドライブにあるマスター・ブート・レコードが上書きされている可能性があります。

  8. コマンドプロンプトに exit と入力し、コンピュータを通常どおり再起動してください。

• Windows Vista および 7 の場合

  1. 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
  2. Windows のインストール DVD を使用して、コンピュータを再起動します。
  3. 再起動するかどうかの確認画面が表示されたら、いずれかのキーを入力し、表示される指示に従います。
  4. Windows のインストール DVD によっては、インストールする言語の選択が必要になる場合があります。 Windows のインストール画面で、言語、ロケール情報およびキーボードの種類と入力方法を選択します。[コンピュータを修復する]をクリックします。
  5. [Windows の起動に伴う問題の修復用の回復ツールを使用します。]を選択します。オペレーティングシステム(OS)を選択し、[次へ]をクリックします。
  6. [スタートアップ修復]画面が表示された場合、[キャンセル]-[はい]-[完了]をクリックします。
  7. [システム回復オプション]メニューで、[コマンドプロンプト]をクリックします。
  8. 以下のコマンドを入力し、Enter を押します。
    BoorRec.exe /fixmbr
  9. コマンドプロンプトに exit と入力し、Enter を押して、コマンドプロンプト画面を閉じてください。
  10. [再起動]をクリックし、コンピュータを通常どおり再起動してください。

註:

このマルウェアを駆除するための専用ツールは、お問い合わせいただいたお客様に個別に提供いたしております。

詳しくは下記サポートセンター窓口へお問い合わせください。


ご利用はいかがでしたか? アンケートにご協力ください