WAPOMI
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
「SIMFECT」としても知られる「WAPOMI」およびその亜種は、"Guntior"と名付けられた中国語ブートキットの一部です。マルウェアは、中国のユーザのみを対象としていると言われています。マルウェアは、感染コンピュータのコントロールの取得およびマルウェアがダウンロードする他のマルウェアの実行やインストールを隠ぺいするものを削除するために利用されます。
「WAPOMI」の亜種は、ファイル感染やリムーバブルドライブを介して拡散します。マルウェアは、自身のファイル、プロセスやレジストリ値の隠ぺいと同様、セキュリティ関連ソフトを終了する機能も備えています。また、マルウェアは、インターネットにアクセスし、コンポーネントをダウンロードします。
マルウェアは、リムーバブルドライブを介してコンピュータに侵入します。
詳細
侵入方法
マルウェアは、リムーバブルドライブを介してコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %System Root%\{random}.exe
- %System%\dmlocalsvc.dll
- %System%\{random}.sys
- {drive letter}:\autorun.inf
- %System Root%\Documents and Settings\Infotmp.txt
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- {drive letter}:\recycle.{CLSID}\uninstall.exe
マルウェアは、以下のフォルダを作成します。
- {drive letter}:\recycle.{CLSID}
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{exe file}
Debugger = "ntsd -d"
マルウェアは、以下のレジストリキーを削除します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- www.baidu.com
- http://{BLOCKED}t.{BLOCKED}o.com/
- www.{random}.info
「{exe file}」の一覧は、以下となります。
- 360SAFE_INSTALLER.exe
- 360SoftMgrSvc.exe
- 360hotfix.exe
- 360rp.exe
- 360rpt.exe
- 360safe.exe
- 360safebox.exe
- 360sd.exe
- 360se.exe
- 360speedld.exe
- 360tray.exe
- AvastSvc.exe
- AvastUI.exe
- CCenter.exe
- FilMsg.exe
- KSafeSvc.exe
- KSafeTray.exe
- KVMonXP.exe
- KVMonXP.kxp
- KVSrvXP.exe
- MOBKbackup.exe
- MPMon.exe
- MPSVC.exe
- MPSVC1.exe
- MPSVC2.exe
- McNASvc.exe
- McProxy.exe
- McSACore.exe
- Mcods.exe
- Mcshield.exe
- MpfSrv.exe
- MsSvHost.exe
- QQPCAddWidget.exe
- QQPCMgr.exe
- QQPCMgr_tz_Setup.exe
- QQPCRTP.EXE
- QQPCTray.exe
- QQPCUPDATE.EXE
- QQPConfig.exe
- RavMonD.exe
- RavTask.exe
- RsAgent.exe
- RsTray.exe
- Rsmgrsvc.exe
- ScanFrm.exe
- SfCtlCom.exe
- SpIDerMl.exe
- SuperKiller.exe
- TMBMSRV.exe
- TmProxy.exe
- Twister.exe
- UfSeAgnt.exe
- V3PScan.exe
- V3SP.exe
- VPSvc.exe
- afwServ.exe
- ast.exe
- avcenter.exe
- avfwsvc.exe
- avgcsrvx.exe
- avgemc.exe
- avgnsx.exe
- avgnt.exe
- avgrsx.exe
- avgtray.exe
- avguard.exe
- avgwdsvc.exe
- avmailc.exe
- avp.exe
- avshadow.exe
- avwebgrd.exe
- bdagent.exe
- ccSvcHst.exe
- dwengine.exe
- egui.exe
- ekrn.exe
- kavstart.exe
- kissvc.exe
- kmailmon.exe
- knsd.exe
- knsdsvc.exe
- knsdtray.exe
- knsdwsc.exe
- kpfw32.exe
- kpfwsvc.exe
- kpopserver.exe
- krnl360svc.exe
- ksmgui.exe
- ksmsvc.exe
- kswebshield.exe
- kvexpert.exe
- kvol.exe
- kvxp.exe
- kwatch.exe
- kwstray.exe
- kwsupd.exe
- kxedefend.exe
- kxesapp.exe
- kxescore.exe
- kxeserv.exe
- kxetray.exe
- livesrv.exe
- mcagent.exe
- mcmscsvc.exe
- mcsysmon.exe
- mcvsshld.exe
- mfefire.exe
- mfevtps.exe
- msksrver.exe
- qutmserv.exe
- rsnetsvr.exe
- safeboxTray.exe
- sched.exe
- seccenter.exe
- spideragent.exe
- spidernt.exe
- spiderui.exe
- upsvc.exe
- vgchsvx.exe
- vsserv.exe
- zhudongfangyu.exe
- ÐÞ¸´¹¤¾ß.exe
- ÐÞ¸´¹¤¾ß.exe
- トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
- 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。
対応方法
トレンドマイクロのお客様:
最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。
インターネットをご利用の皆様:
ご利用はいかがでしたか? アンケートにご協力ください