Virus.Win32.SALITY.RZ
Virus:Win32/Sality.AT (MICROSOFT)
Windows
- マルウェアタイプ: ファイル感染型ウイルス
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ウイルスは、バックドア活動の機能を備えていません。
ウイルスは、情報収集する機能を備えていません。
ウイルスは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ウイルスは、以下のファイルを作成します。
- %Windows%\{Random Characters}
- %User Temp%\{Random Characters} → if %Windows%\{Random Characters} is not created
- %User Temp%\{Random Characters 1}.exe or %User Temp%\win{Random Characters 1}.exe → detected as TROJ_SALSTUB.A
- %User Temp%\{6 Random Characters}.exe → copy of ntkrnlpa.exe, deleted afterwards
- %System%\drivers\{6 Random characters}.sys → detected as RTKT_SALITY.RL, deleted afterwards
- {Available Drive Except for CD-ROM Drives}:\autorun.inf → file attribute set to HIDDEN and SYSTEM
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
ウイルスは、以下のプロセスを追加します。
- %User Temp%\{Random Characters 2}.exe or %User Temp%\win{Random Characters 2}.exe
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
ウイルスは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。
- All running processes except for those created by the following account names:
- SYSTEM
- LOCAL SERVICE
- NETWORK SERVICE
ウイルスは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- uxJLpe1m
- {Process Name}M_{Process ID} → For all current running processes in the system
他のシステム変更
ウイルスは、以下のファイルを削除します。
- Files with .exe extension in %User Temp%.
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
ウイルスは、以下のフォルダを削除します。
- Folders with _Rar as folder name in %User Temp%.
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
ウイルスは、"SYSTEM.INI" 内に以下の文字列を追加します。
- [mci]
[MCIDRV_VER]
DEVICEMB={Random Decimal Numbers}
ウイルスは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplication\
List
{Malware File Path}\{Malware File Name} = {Malware File Path}\{Malware File Name}:*:Enabled:ipsec
HKEY_CURRENT_USER\Software\{Generated Characters from First 4 Letters of Computer Name}
{Random Character}{Incrementing Number from 1 to 4}_{Incrementing Number from 0} = {Random Characters}
HKEY_CURRENT_USER\Software\{Generated Characters from First 4 Letters of Computer Name}\
{Random Numbers}
{Random Characters} = {Random Characters}
HKEY_CURRENT_USER\Software\{Generated Characters from First 4 Letters of Computer Name}\
{Random Numbers}
{Random Characters} = {Hex Value}
ウイルスは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
AntiVirusDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
FirewallDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
FirewallOverride = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
UpdatesDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
UacDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusOverride = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallOverride = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UpdatesDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UacDisableNotify = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = 0
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = 0
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = 1
(註:変更前の上記レジストリ値は、「0」となります。)
ウイルスは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\{Generated Characters from First 4 Letters of Computer Name}
HKEY_CURRENT_USER\Software\{Generated Characters from First 4 Letters of Computer Name}\
{Random Numbers}
ウイルスは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 2
(註:変更前の上記レジストリ値は、「1」となります。)
ウイルスは、以下のレジストリキーを削除します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\SafeBoot\{All Enumerated Subkeys}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\{All Enumerated Subkeys}
ファイル感染
ウイルスは、以下の形式のファイルに感染します。
- .EXE
- .SCR
ウイルスは、以下の文字列を含むフォルダには感染しません。
- C:\Windows
- SYSTEM
ウイルスは、ファイル名に以下の文字列を含むファイルには感染しません。
- AVPM
- A2GUARD
- A2CMD
- A2SERVICE
- A2FREE
- AVAST
- ADVCHK
- AGB
- AKRNL
- AHPROCMONSERVER
- AIRDEFENSE
- ALERTSVC
- AVIRA
- AMON
- TROJAN
- AVZ
- ANTIVIR
- APVXDWIN
- ARMOR2NET
- ASHAVAST
- ASHDISP
- ASHENHCD
- ASHMAISV
- ASHPOPWZ
- ASHSERV
- ASHSIMPL
- ASHSKPCK
- ASHWEBSV
- ASWUPDSV
- ASWSCAN
- AVCIMAN
- AVCONSOL
- AVENGINE
- AVESVC
- AVEVAL
- AVEVL32
- AVGAM
- AVGCC.AVGCHSVX
- AVGCSRVX
- AVGNSX
- AVGCC32
- AVGCTRL
- AVGEMC
- AVGFWSRV
- AVGNT
- AVCENTER
- AVGNTMGR
- AVGSERV
- AVGTRAY
- AVGUARD
- AVGUPSVC
- AVGWDSVC
- AVINITNT
- AVKSERV
- AVKSERVICE
- AVKWCTL
- AVP
- AVP32
- AVPCC
- AVAST
- AVSERVER
- AVSCHED32
- AVSYNMGR
- AVWUPD32
- AVWUPSRV
- AVXMONITOR
- AVXQUAR
- BDSWITCH
- BLACKD
- BLACKICE
- CAFIX
- BITDEFENDER
- CCEVTMGR
- CFP
- CFPCONFIG
- CCSETMGR
- CFIAUDIT
- CLAMTRAY
- CLAMWIN
- CUREIT
- DEFWATCH
- DRVIRUS
- DRWADINS
- DRWEB
- DEFENDERDAEMON
- DWEBLLIO
- DWEBIO
- ESCANH95
- ESCANHNT
- EWIDOCTRL
- EZANTIVIRUSREGISTRATIONCHECK
- F-AGNT95
- FAMEH32
- FILEMON
- FIREWALL
- FORTICLIENT
- FORTITRAY
- FORTISCAN
- FPAVSERVER
- FPROTTRAY
- FPWIN
- FRESHCLAM
- EKRN
- FSAV32
- FSAVGUI
- FSBWSYS
- F-SCHED
- FSDFWD
- FSGK32
- FSGK32ST
- FSGUIEXE
- FSMA32
- FSMB32
- FSPEX
- FSSM32
- F-STOPW
- GCASDTSERV
- GCASSERV
- GIANTANTISPYWARE
- GUARDGUI
- GUARDNT
- GUARDXSERVICE
- GUARDXKICKOFF
- HREGMON
- HRRES
- HSOCKPE
- HUPDATE
- IAMAPP
- IAMSERV
- ICLOAD95
- ICLOADNT
- ICMON
- ICSSUPPNT
- ICSUPP95
- ICSUPPNT
- IPTRAY
- INETUPD
- INOCIT
- INORPC
- INORT
- INOTASK
- INOUPTNG
- IOMON98
- ISAFE
- ISATRAY
- KAV
- KAVMM
- KAVPF
- KAVPFW
- KAVSTART
- KAVSVC
- KAVSVCUI
- KMAILMON
- MAMUTU
- MCAGENT
- MCMNHDLR
- MCREGWIZ
- MCUPDATE
- MCVSSHLD
- MINILOG
- MYAGTSVC
- MYAGTTRY
- NAVAPSVC
- NAVAPW32
- NAVLU32
- NAVW32
- NEOWATCHLOG
- NEOWATCHTRAY
- NISSERV
- NISUM
- NMAIN
- NOD32
- NORMIST
- NOTSTART
- NPAVTRAY
- NPFMNTOR
- NPFMSG
- NPROTECT
- NSCHED32
- NSMDTR
- NSSSERV
- NSSTRAY
- NTRTSCAN
- NTOS
- NTXCONFIG
- NUPGRADE
- NVCOD
- NVCTE
- NVCUT
- NWSERVICE
- OFCPFWSVC
- OUTPOST
- ONLINENT
- OPSSVC
- OP_MON
- PAVFIRES
- PAVFNSVR
- PAVKRE
- PAVPROT
- PAVPROXY
- PAVPRSRV
- PAVSRV51
- PAVSS
- PCCGUIDE
- PCCIOMON
- PCCNTMON
- PCCPFW
- PCCTLCOM
- PCTAV
- PERSFW
- PERTSK
- PERVAC
- PESTPATROL
- PNMSRV
- PREVSRV
- PREVX
- PSIMSVC
- QUHLPSVC
- QHONLINE
- QHONSVC
- QHWSCSVC
- QHSET
- RFWMAIN
- RTVSCAN
- RTVSCN95
- SALITY
- SAPISSVC
- SCANWSCS
- SAVADMINSERVICE
- SAVMAIN
- SAVPROGRESS
- SAVSCAN
- SCANNINGPROCESS
- SDRA64
- SDHELP
- SHSTAT
- SITECLI
- SPBBCSVC
- SPHINX
- SPIDERCPL
- SPIDERML
- SPIDERNT
- SPIDERUI
- SPYBOTSD
- SPYXX
- SS3EDIT
- STOPSIGNAV
- SWAGENT
- SWDOCTOR
- SWNETSUP
- SYMLCSVC
- SYMPROXYSVC
- SYMSPORT
- SYMWSC
- SYNMGR
- TAUMON
- TBMON
- TMLISTEN
- TMNTSRV
- TMPROXY
- TNBUTIL
- TRJSCAN
- VBA32ECM
- VBA32IFS
- VBA32LDR
- VBA32PP3
- VBSNTW
- VCRMON
- VPTRAY
- VRFWSVC
- VRMONNT
- VRMONSVC
- VRRW32
- VSECOMR
- VSHWIN32
- VSMON
- VSSERV
- VSSTAT
- WATCHDOG
- WEBSCANX
- WINSSNOTIFY
- WRCTRL
- XCOMMSVR
- ZLCLIENT
- ZONEALARM
ウイルスは、以下のファイルには感染しません。
- Protected System Files
- Files in CD-ROM drives
これは、トレンドマイクロの製品では、以下 により感染したファイルの検出名です。
感染活動
ウイルスは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。
- {Available Drive Except for CD-ROM Drives}:\{Random Characters}.{pif or exe}
ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
;
[AutoRun]
;{Garbage Characters}
Shell\opEN\DefaulT=1
;{Garbage Characters}
OPEN =ptmisp.exe
;{Garbage Characters}
ShEll\open\cOmmaND = {Malware File Name}.{pif or exe}
;{Garbage Characters}
ShEll\explOre\cOmmaNd={Malware File Name}.{pif or exe}
;{Garbage Characters}
ShelL\AutoPlAY\CoMmaNd ={Malware File Name}.{pif or exe}
;{Garbage Characters}
バックドア活動
ウイルスは、バックドア活動の機能を備えていません。
ルートキット機能
ウイルスは、ルートキット機能を備えていません。
プロセスの終了
ウイルスは、感染コンピュータ上で確認した以下のサービスを終了します。
- AVP
- Agnitum Client Security Service
- ALG
- Amon monitor
- aswUpdSv
- aswMon2
- aswRdr
- aswSP
- aswTdi
- aswFsBlk
- acssrv
- AV Engine
- avast! iAVS4 Control Service
- avast! Antivirus
- avast! Mail Scanner
- avast! Web Scanner
- avast! Asynchronous Virus Monitor
- avast! Self Protection
- AVG E-mail Scanner
- Avira AntiVir Premium Guard
- Avira AntiVir Premium WebGuard
- Avira AntiVir Premium MailGuard
- BGLiveSvc
- BlackICE
- CAISafe
- ccEvtMgr
- ccProxy
- ccSetMgr
- COMODO Firewall Pro Sandbox Driver
- cmdGuard
- cmdAgent
- Eset Service
- Eset HTTP Server
- Eset Personal Firewall
- F-Prot Antivirus Update Monitor
- fsbwsys
- FSDFWD
- F-Secure Gatekeeper Handler Starter
- FSMA
- Google Online Services
- InoRPC
- InoRT
- InoTask
- ISSVC
- KPF4
- KLIF
- LavasoftFirewall
- LIVESRV
- McAfeeFramework
- McShield
- McTaskManager
- MpsSvc
- navapsvc
- NOD32krn
- NPFMntor
- NSCService
- Outpost Firewall main module
- OutpostFirewall
- PAVFIRES
- PAVFNSVR
- PavProt
- PavPrSrv
- PAVSRV
- PcCtlCom
- PersonalFirewal
- PREVSRV
- ProtoPort Firewall service
- PSIMSVC
- RapApp
- SharedAccess
- SmcService
- SNDSrvc
- SPBBCSvc
- SpIDer FS Monitor for Windows NT
- SpIDer Guard File System Monitor
- SPIDERNT
- Symantec Core LC
- Symantec Password Validation
- Symantec AntiVirus Definition Watcher
- SavRoam
- Symantec AntiVirus
- Tmntsrv
- TmPfw
- UmxAgent
- UmxCfg
- UmxLU
- UmxPol
- vsmon
- VSSERV
- WebrootDesktopFirewallDataService
- WebrootFirewall
- wscsvc
- XCOMM
ウイルスは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- AVPM
- A2GUARD
- A2CMD
- A2SERVICE
- A2FREE
- AVAST
- ADVCHK
- AGB
- AKRNL
- AHPROCMONSERVER
- AIRDEFENSE
- ALERTSVC
- AVIRA
- AMON
- TROJAN
- AVZ
- ANTIVIR
- APVXDWIN
- ARMOR2NET
- ASHAVAST
- ASHDISP
- ASHENHCD
- ASHMAISV
- ASHPOPWZ
- ASHSERV
- ASHSIMPL
- ASHSKPCK
- ASHWEBSV
- ASWUPDSV
- ASWSCAN
- AVCIMAN
- AVCONSOL
- AVENGINE
- AVESVC
- AVEVAL
- AVEVL32
- AVGAM
- AVGCC
- AVGCHSVX
- AVGCSRVX
- AVGNSX
- AVGCC32
- AVGCTRL
- AVGEMC
- AVGFWSRV
- AVGNT
- AVCENTER
- AVGNTMGR
- AVGSERV
- AVGTRAY
- AVGUARD
- AVGUPSVC
- AVGWDSVC
- AVINITNT
- AVKSERV
- AVKSERVICE
- AVKWCTL
- AVP
- AVP32
- AVPCC
- AVAST
- AVSERVER
- AVSCHED32
- AVSYNMGR
- AVWUPD32
- AVWUPSRV
- AVXMONITOR
- AVXQUAR
- BDSWITCH
- BLACKD
- BLACKICE
- CAFIX
- BITDEFENDER
- CCEVTMGR
- CFP
- CFPCONFIG
- CCSETMGR
- CFIAUDIT
- CLAMTRAY
- CLAMWIN
- CUREIT
- DEFWATCH
- DRVIRUS
- DRWADINS
- DRWEB
- DEFENDERDAEMON
- DWEBLLIO
- DWEBIO
- ESCANH95
- ESCANHNT
- EWIDOCTRL
- EZANTIVIRUSREGISTRATIONCHECK
- F-AGNT95
- FAMEH32
- FILEMON
- FIREWALL
- FORTICLIENT
- FORTITRAY
- FORTISCAN
- FPAVSERVER
- FPROTTRAY
- FPWIN
- FRESHCLAM
- EKRN
- FSAV32
- FSAVGUI
- FSBWSYS
- F-SCHED
- FSDFWD
- FSGK32
- FSGK32ST
- FSGUIEXE
- FSMA32
- FSMB32
- FSPEX
- FSSM32
- F-STOPW
- GCASDTSERV
- GCASSERV
- GIANTANTISPYWARE
- GUARDGUI
- GUARDNT
- GUARDXSERVICE
- GUARDXKICKOFF
- HREGMON
- HRRES
- HSOCKPE
- HUPDATE
- IAMAPP
- IAMSERV
- ICLOAD95
- ICLOADNT
- ICMON
- ICSSUPPNT
- ICSUPP95
- ICSUPPNT
- IPTRAY
- INETUPD
- INOCIT
- INORPC
- INORT
- INOTASK
- INOUPTNG
- IOMON98
- ISAFE
- ISATRAY
- KAV
- KAVMM
- KAVPF
- KAVPFW
- KAVSTART
- KAVSVC
- KAVSVCUI
- KMAILMON
- MAMUTU
- MCAGENT
- MCMNHDLR
- MCREGWIZ
- MCUPDATE
- MCVSSHLD
- MINILOG
- MYAGTSVC
- MYAGTTRY
- NAVAPSVC
- NAVAPW32
- NAVLU32
- NAVW32
- NEOWATCHLOG
- NEOWATCHTRAY
- NISSERV
- NISUM
- NMAIN
- NOD32
- NORMIST
- NOTSTART
- NPAVTRAY
- NPFMNTOR
- NPFMSG
- NPROTECT
- NSCHED32
- NSMDTR
- NSSSERV
- NSSTRAY
- NTRTSCAN
- NTOS
- NTXCONFIG
- NUPGRADE
- NVCOD
- NVCTE
- NVCUT
- NWSERVICE
- OFCPFWSVC
- OUTPOST
- ONLINENT
- OPSSVC
- OP_MON
- PAVFIRES
- PAVFNSVR
- PAVKRE
- PAVPROT
- PAVPROXY
- PAVPRSRV
- PAVSRV51
- PAVSS
- PCCGUIDE
- PCCIOMON
- PCCNTMON
- PCCPFW
- PCCTLCOM
- PCTAV
- PERSFW
- PERTSK
- PERVAC
- PESTPATROL
- PNMSRV
- PREVSRV
- PREVX
- PSIMSVC
- QUHLPSVC
- QHONLINE
- QHONSVC
- QHWSCSVC
- QHSET
- RFWMAIN
- RTVSCAN
- RTVSCN95
- SALITY
- SAPISSVC
- SCANWSCS
- SAVADMINSERVICE
- SAVMAIN
- SAVPROGRESS
- SAVSCAN
- SCANNINGPROCESS
- SDRA64
- SDHELP
- SHSTAT
- SITECLI
- SPBBCSVC
- SPHINX
- SPIDERCPL
- SPIDERML
- SPIDERNT
- SPIDERUI
- SPYBOTSD
- SPYXX
- SS3EDIT
- STOPSIGNAV
- SWAGENT
- SWDOCTOR
- SWNETSUP
- SYMLCSVC
- SYMPROXYSVC
- SYMSPORT
- SYMWSC
- SYNMGR
- TAUMON
- TBMON
- TMLISTEN
- TMNTSRV
- TMPROXY
- TNBUTIL
- TRJSCAN
- VBA32ECM
- VBA32IFS
- VBA32LDR
- VBA32PP3
- VBSNTW
- VCRMON
- VPTRAY
- VRFWSVC
- VRMONNT
- VRMONSVC
- VRRW32
- VSECOMR
- VSHWIN32
- VSMON
- VSSERV
- VSSTAT
- WATCHDOG
- WEBSCANX
- WINSSNOTIFY
- WRCTRL
- XCOMMSVR
- ZLCLIENT
- ZONEALARM
- Processes with the following loaded modules:
- DWEBLLIO
- DWEBIO
ダウンロード活動
ウイルスは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- http://{BLOCKED}dovertime.com/nb4?{Random Numbers} → as of this writing, the said site is inaccessible
- http://{BLOCKED}ucket.biz/nv4?{Random Numbers}
ウイルスは、以下のファイル名でダウンロードしたファイルを保存します。
- %User Temp%\{Random Characters 2}.exe or %User Temp%\win{Random Characters 2}.exe → detected as Trojan.Win32.CLIPPER.VSNW14B25, deleted afterwards
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
情報漏えい
ウイルスは、情報収集する機能を備えていません。
その他
ウイルスは、以下のWebサイトにアクセスし、情報を送受信します。
- 0.0.0.0:{Random Port}
- 94.76.{BLOCKED}.{BLOCKED}:{BLOCKED}
ウイルスは、以下を実行します。
- It adds and runs the following services:
- Service Name: amsint32
Image Path = %System%\drivers\{6 Random Characters}.sys - Service Name: IpFilterDriver
Image Path = %System%\drivers\ipfltdrv.sys
- Service Name: amsint32
- It infects .exe files discovered under the following registry keys:
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
- In HKEY_CURRENT_USER\Software\Classes\LocalSettings\Software\Microsoft\Windows\Shell\MuiCache
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
マルウェアは、脆弱性を利用した感染活動を行いません。
<補足>
インストール
ウイルスは、以下のファイルを作成します。
- %Windows%\{ランダムな文字列}
- %User Temp%\{ランダムな文字列} → %Windows%\{ランダムな文字列}が作成されない場合
- %User Temp%\{ランダムな文字列 1}.exe または %User Temp%\win{ランダムな文字列 1}.exe → 「TROJ_SALSTUB.A」として検出される
- %User Temp%\{ランダムな6文字}.exe → ntkrnlpa.exeのコピー、後に削除される
- %System%\drivers\{ランダムな6文字}.sys → 「RTKT_SALITY.RL」として検出される、後に削除される
- {CD-ROMドライブ以外の利用可能なドライブ}:\autorun.inf → ファイル属性が隠しファイル属性(HIDDEN)およびシステムファイル属性(SYSTEM)に設定される
ウイルスは、以下のプロセスを追加します。
- %User Temp%\{ランダムな文字列 2}.exe または %User Temp%\win{ランダムな文字列 2}.exe
ウイルスは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。
- 以下のアカウント名によって作成されたプロセスを除く、実行中のすべてのプロセス:
- SYSTEM
- LOCAL SERVICE
- NETWORK SERVICE
ウイルスは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- uxJLpe1m
- {プロセス名}M_{プロセスID} → 感染コンピュータ内で実行中のすべてのプロセス
他のシステム変更
ウイルスは、以下のファイルを削除します。
- %User Temp%内に存在するファイル拡張子「.exe」を持つファイル
ウイルスは、以下のフォルダを削除します。
- %User Temp%内に存在するフォルダ名が_Rarであるフォルダ
ファイル感染
ウイルスは、以下のファイルには感染しません。
- 保護されたシステムファイル
- CD-ROMドライブ内のファイル
これは、トレンドマイクロの製品では、以下 により感染したファイルの検出名です。
感染活動
ウイルスは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。
- {CD-ROMドライブ以外の利用可能なドライブ}:\{ランダムな文字列}.{pif または exe}
プロセスの終了
ウイルスは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- 以下の読み込まれたモジュールを使用しているプロセス
- DWEBLLIO
- DWEBIO
ダウンロード活動
ウイルスは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- http://{BLOCKED}dovertime.com/nb4?{ランダムな数字} → ただし、情報公開日現在、このWebサイトにはアクセスできません。
- http://{BLOCKED}ucket.biz/nv4?{ランダムな数字}
ウイルスは、以下のファイル名でダウンロードしたファイルを保存します。
- %User Temp%\{ランダムな文字列 2}.exe または %User Temp%\win{ランダムな文字列 2}.exe → 「Trojan.Win32.CLIPPER.VSNW14B25」として検出される、後に削除される
その他
ウイルスは、以下を実行します。
- 以下のサービスを追加して実行します。
- サービス名: amsint32
画像パス = %System%\drivers\{ランダムな6文字}.sys - サービス名: IpFilterDriver
画像パス = %System%\drivers\ipfltdrv.sys
- サービス名: amsint32
- 以下のレジストリキー配下で確認された.exeファイルに感染します。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache配下
- HKEY_CURRENT_USER\Software\Classes\LocalSettings\Software\Microsoft\Windows\Shell\MuiCache配下
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run配下
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run配下
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- TROJ.Win32.TRX.XXPE50FFF090
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
このマルウェアのサービスを無効にします。
- amsint32
- IpFilterDriver
手順 6
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplication\List
- {Malware File Path}\{Malware File Name} = {Malware File Path}\{Malware File Name}:*:Enabled:ipsec
- {Malware File Path}\{Malware File Name} = {Malware File Path}\{Malware File Name}:*:Enabled:ipsec
- In HKEY_CURRENT_USER\Software\{Generated Characters from First 4 Letters of Computer Name}
- {Random Character}{Incrementing Number from 1 to 4}_{Incrementing Number from 0} = {Random Characters}
- {Random Character}{Incrementing Number from 1 to 4}_{Incrementing Number from 0} = {Random Characters}
- In HKEY_CURRENT_USER\Software\{Generated Characters from First 4 Letters of Computer Name}\{Random Numbers}
- {Random Characters} = {Random Characters}
- {Random Characters} = {Random Characters}
- In HKEY_CURRENT_USER\Software\{Generated Characters from First 4 Letters of Computer Name}\{Random Numbers}
- {Random Characters} = {Hex Value}
- {Random Characters} = {Hex Value}
手順 7
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\{Generated Characters from First 4 Letters of Computer Name}
- {Random Numbers}
- {Random Numbers}
- In HKEY_CURRENT_USER\Software
- {Generated Characters from First 4 Letters of Computer Name}
- {Generated Characters from First 4 Letters of Computer Name}
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
- amsint32
- amsint32
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
- IpFilterDriver
- IpFilterDriver
手順 8
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: AntiVirusOverride = "1"
To: AntiVirusOverride = "0"
- From: AntiVirusOverride = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: AntiVirusDisableNotify = "1"
To: AntiVirusDisableNotify = "0"
- From: AntiVirusDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: FirewallDisableNotify = "1"
To: FirewallDisableNotify = "0"
- From: FirewallDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: FirewallOverride = "1"
To: FirewallOverride = "0"
- From: FirewallOverride = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: UpdatesDisableNotify = "1"
To: UpdatesDisableNotify = "0"
- From: UpdatesDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: UacDisableNotify = "1"
To: UacDisableNotify = "0"
- From: UacDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- From: AntiVirusOverride = "1"
To: AntiVirusOverride = "0"
- From: AntiVirusOverride = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- From: AntiVirusDisableNotify = "1"
To: AntiVirusDisableNotify = "0"
- From: AntiVirusDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- From: FirewallDisableNotify = "1"
To: FirewallDisableNotify = "0"
- From: FirewallDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- From: FirewallOverride = "1"
To: FirewallOverride = "0"
- From: FirewallOverride = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- From: UpdatesDisableNotify = "1"
To: UpdatesDisableNotify = "0"
- From: UpdatesDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- From: UacDisableNotify = "1"
To: UacDisableNotify = "0"
- From: UacDisableNotify = "1"
- In HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\Windows\CurrentVersion\Explorer\Advanced
- From: Hidden = "2"
To: Hidden = "1"
- From: Hidden = "2"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- From: EnableLUA = "0"
To: EnableLUA = "1"
- From: EnableLUA = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- From: EnableFirewall = "0"
To: EnableFirewall = "1"
- From: EnableFirewall = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- From: DoNotAllowExceptions = "0"
To: DoNotAllowExceptions = "1"
- From: DoNotAllowExceptions = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- From: DisableNotifications = "1"
To: DisableNotifications = "0"
- From: DisableNotifications = "1"
手順 9
以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。
※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
- {All Subkeys}
- {All Subkeys}
- In HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
- {All Subkeys}
- {All Subkeys}
手順 10
「Virus.Win32.SALITY.RZ」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。
[AutoRun]
;{Garbage Characters}
Shell\opEN\DefaulT=1
;{Garbage Characters}
OPEN =ptmisp.exe
;{Garbage Characters}
ShEll\open\cOmmaND = {Malware File Name}.{pif or exe}
;{Garbage Characters}
ShEll\explOre\cOmmaNd={Malware File Name}.{pif or exe}
;{Garbage Characters}
ShelL\AutoPlAY\CoMmaNd ={Malware File Name}.{pif or exe}
;{Garbage Characters}
手順 11
マルウェアが "SYSTEM.INI" に追加した以下の文字列を削除します。
[MCIDRV_VER]
DEVICEMB={Random Decimal Numbers}
手順 12
以下のファイルを検索し削除します。
- %Windows%\{Random Characters}
- %User Temp%\{Random Characters}
- %User Temp%\{Random Characters 1}.exe or %User Temp%\win{Random Characters 1}.exe
- %User Temp%\{Random Characters 2}.exe or %User Temp%\win{Random Characters 2}.exe
- %User Temp%\{6 Random Characters}.exe
- %System%\drivers\{6 Random characters}.sys
- {Available Drive Except for CD-ROM Drives}:\{Random Characters}.{pif or exe}
手順 13
以下の削除されたファイルをバックアップを用いて修復します。
※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみに修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- Files with .exe extension in %User Temp%.
- Folders with _Rar as folder name in %User Temp%.
手順 14
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Virus.Win32.SALITY.RZ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 15
この「Virus.Win32.SALITY.RZ」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)
ご利用はいかがでしたか? アンケートにご協力ください