Trend Micro Security

Virus.Win64.EXPIRO.AA

2020年9月3日
 解析者: Paul Steven Nadera   
 別名:

Virus.Win64.Expiro (Ikarus); W64/Expiro.CE (Fortinet); a variant of Win32/Expiro.NDH virus (NOD32)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ファイル感染型ウイルス
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ウイルスは、バックドア活動の機能を備えていません。

ウイルスは、感染コンピュータや感染ユーザから特定の情報を収集します。

  詳細

ファイルサイズ 554,496 bytes
タイプ EXE
メモリ常駐 はい
発見日 2020年8月17日
ペイロード サービスの無効, 情報収集, URLまたはIPアドレスに接続

侵入方法

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ウイルスは、以下のファイルを作成します。

  • %AppDataLocal%\{random characters }\cmd.exe -> infected copy of legitimate %System%\cmd.exe
  • {infected directory path}\{random characters}.tmp -> initial infected file, later replaces the host executable file contents and then deleted.
  • %ProgramData%\{random characters }.dat
  • %ProgramData%\{random characters }.nls

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

ウイルスは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • Local\{random}

他のシステム変更

ウイルスは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Explorer\
User Shell Folders
Startup = %AppDataLocal%\{random characters}

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Shell Folders
Startup = %AppDataLocal%\{random characters}

ファイル感染

ウイルスは、以下の形式のファイルに感染します。

  • .EXE

ウイルスは、ファイル名に以下の文字列を含むファイルには感染しません。

  • rsvp.exe
  • chrome.exe
  • rundll32.exe
  • consent.exe
  • sppsvc.exe
  • WerFault.exe

バックドア活動

ウイルスは、バックドア活動の機能を備えていません。

ルートキット機能

ウイルスは、ルートキット機能を備えていません。

プロセスの終了

ウイルスは、感染コンピュータ上で確認した以下のサービスを終了します。

  • wscsvc
  • WinDefend
  • MsMpSvc
  • NisSrv
  • gupdate
  • gupdatem
  • wuauserv

情報漏えい

ウイルスは、以下の情報を収集します。

  • OS Information
  • Drive Information
  • System Locale Language
  • Processor Name and Description
  • Baseboard SKU and Model
  • DiskDrive Model and Size
  • Computer System Product Information

情報収集

ウイルスは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • http://{BLOCKED}bykovfoqys.ws
  • http://{BLOCKED}jixxu-pafkel
  • http://{BLOCKED}ezed-picriv.ws
  • http://{BLOCKED}ilixif.ws
  • http://{BLOCKED}lraf-uxek.com
  • http://{BLOCKED}humydoc.in
  • http://{BLOCKED}amytavyx.ws
  • http://{BLOCKED}fytipi.biz
  • http://{BLOCKED}ovoxijyr.com
  • http://{BLOCKED}kda-miw.biz
  • http://{BLOCKED}sicpu.ru
  • http://{BLOCKED}u-ozyh.in
  • http://{BLOCKED}ade-ry.org
  • http://{BLOCKED}ejudkyl.cc
  • http://{BLOCKED}ahokadyp.in
  • http://{BLOCKED}vy-aqaziq.org
  • http://{BLOCKED}mehiqsixa.biz
  • http://{BLOCKED}ovakyv.biz
  • http://{BLOCKED}fxyzeca.biz
  • http://{BLOCKED}wanysa.biz
  • http://{BLOCKED}omo-beljum.ws
  • http://{BLOCKED}hode.cc
  • http://{BLOCKED}junedelqa.cc
  • http://{BLOCKED}epma-jeh.com
  • http://{BLOCKED}rifithal.in
  • http://{BLOCKED}-boqmy.biz
  • http://{BLOCKED}fabqajci.ru
  • http://{BLOCKED}wetexdy.cc
  • http://{BLOCKED}ery-ro.ru
  • http://{BLOCKED}zumiwahod.com
  • http://{BLOCKED}ykkodyky.ws
  • http://{BLOCKED}hojavaze.com
  • http://{BLOCKED}uvaponi.in
  • http://{BLOCKED}acutebo.ws
  • http://{BLOCKED}iwitucy.net
  • http://{BLOCKED}ixjyfy.com
  • http://{BLOCKED}ca-uci.ru
  • http://{BLOCKED}ulivafe.com
  • http://{BLOCKED}sobbe.ws
  • http://{BLOCKED}ubucsasaw.biz
  • http://{BLOCKED}b-efal.ru
  • http://{BLOCKED}-bifik.com
  • http://{BLOCKED}b-yjes.ru
  • http://{BLOCKED}b-ohap.ru
  • http://{BLOCKED}b-uluz.ru
  • http://{BLOCKED}b-ekew.ru
  • http://{BLOCKED}-copog.com
  • http://{BLOCKED}b-ypud.ru
  • http://{BLOCKED}b-urok.ru
  • http://{BLOCKED}b-aquh.ru
  • http://{BLOCKED}b-ivar.ru
  • http://{BLOCKED}-betop.com
  • http://{BLOCKED}b-oxyx.ru
  • http://{BLOCKED}b-yxav.ru
  • http://{BLOCKED}b-abif.ru
  • http://{BLOCKED}b-ubyc.ru
  • http://{BLOCKED}by-ezu.ru
  • http://{BLOCKED}vvy-sihpy.ws
  • http://{BLOCKED}ubiwezu.com
  • http://{BLOCKED}a-xojfu.biz
  • http://{BLOCKED}i-izy.org
  • http://{BLOCKED}pi-ziboj.in
  • http://{BLOCKED}olonkub.ru
  • http://{BLOCKED}ylvos-hyqe.ws
  • http://{BLOCKED}nixly-muro.cc
  • http://{BLOCKED}usdi-ihyq.in
  • http://{BLOCKED}ybavyxo.org
  • http://{BLOCKED}odkitywuli.ws
  • http://{BLOCKED}ewvupazah.ws
  • http://{BLOCKED}owvusxuwlu.ws
  • http://{BLOCKED}oqi-co.in
  • http://{BLOCKED}a-ahusdyb.net
  • http://{BLOCKED}beqfu-son.biz
  • http://{BLOCKED}hynxavdu.net
  • http://{BLOCKED}xjedkiciten.biz
  • http://{BLOCKED}woxiqaf.ru
  • http://{BLOCKED}ibliki.ru

その他

ウイルスは、以下を実行します。

  • This infector infects the target files of shortcut files located in the following location(s):
    • %Programs%
    • %Desktop%
  • Since the infector infects Startup programs, it also serves as its auto-start mechanism.
  • It also searches all available drives for .EXE files that it will infect. In this way, the drives shared through network and removable drives will be infected. This also serves as its propagation method.

(註:%Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\Desktop" です。)

マルウェアは、脆弱性を利用した感染活動を行いません。

<補足>
インストール

ウイルスは、以下のファイルを作成します。

  • %AppDataLocal%\{ランダムな文字}\cmd.exe → 正規%System%\ cmd.exeに感染した自身のコピー
  • {感染したディレクトリパス}\{ランダムな文字}.tmp → 最初に感染したファイル。後にホストの実行可能ファイルの内容を置き換えて削除
  • %ProgramData%\{ランダムな文字}.dat
  • %ProgramData%\{ランダムな文字}.nls

情報漏えい

ウイルスは、以下の情報を収集します。

  • オペレーティングシステム(OS)情報
  • ドライブ情報
  • システムロケール言語
  • プロセッサ名および種類
  • ベースボードSKUおよびモデル
  • ディスクドライブのモデルおよびサイズ
  • コンピュータシステムの製品情報

その他

ウイルスは、以下を実行します。

  • ウイルスは、以下の場所に存在するショートカットファイルの標的にしたファイルに感染します。
    • %Programs%
    • %Desktop%
  • ウイルスは、スタートアッププログラムに感染するため、自動実行方法としても機能します。
  • ウイルスは、感染するための実行可能ファイルをすべての利用可能なドライブで検索します。このようにして、ネットワークを介して共有されているドライブとリムーバブルドライブが感染します。これは、拡散活動としても機能します。

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 16.177.00
初回 VSAPI パターンリリース日 2020年8月20日
VSAPI OPR パターンバージョン 16.178.00
VSAPI OPR パターンリリース日 2020年8月21日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 5

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
    • Startup = "%AppDataLocal%\{random characters}"
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    • Startup = "%AppDataLocal%\{random characters}"

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %AppDataLocal%\{random characters}\cmd.exe
  • {infected directory path}\{random characters}.tmp
  • %ProgramData%\{random characters }.dat
  • %ProgramData%\{random characters }.nls

手順 7

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Virus.Win64.EXPIRO.AA」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください