キヤノンITソリューションズ：NOD32 アンチウイルス：Win32/Alman.NAB


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/Alman.NAB	公開日：2007年6月27日
このウイルスに関する危険度 :■■■□□

名称	Win32/Alman.NAB
別名	Virus.Win32.Alman.b (Kaspersky), W32.Almanahe.B!inf (Symantec), W32/Almanahe.c (McAfee)
種別	ウイルス
対応定義ファイル	バージョン 2310 ～
シグネチャ検査による結果だった場合	Win32/Alman.NAB ウイルス
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのウイルスを利用した新種、亜種が検出された場合は、「NewHeur_PE ウイルス」もしくは「Win32/Alman ウイルスの亜種」という名称で警告が出ます。
影響受けるプラットフォーム	Microsoft Windows
概要	Win32/Alman.NAB ウイルスは、変形する(ポリモーフィック型)ウイルスです。ウイルスは共有フォルダを通じてリムーバブルメディアに感染を広げます。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/Alman.NAB ウイルスが実行されると、ウイルスは自分自身を %windir% へ次のファイル名でドロップします。

linkinfo.dll

また、このライブラリは次のファイルにインジェクトします。

explorer.exe

さらに、次のファイルを %system%drivers フォルダへドロップします。

nvmini.sys

ウイルスは、次のレジストリを登録します。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvmini]
" DisplayName" = "NVIDIA Compatible Windows Miniport Driver"
" ImagePath" = "%system%\drivers\nvmini.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVMINI]
" NextInstance" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVMINI
\0000]
" Service" = "nvmini"
" Legacy" = 1
" ConfigFlags" = 0
" Class" = "LegacyDriver"
" DeviceDesc" = "nvmini"
" Capabilities" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVMINI
\0000\Control]
" DeviceReference" = -2121667312
" ActiveService" = "nvmini"

■ウイルス感染源の活動について

ウイルスは、ローカルドライブで実行可能なファイルを探します。その際、次の文字列のいずれかを含むフォルダ名に対して実行可能な形式がない場合のみ感染を試みます。

LOCAL SETTINGS\TEMP\
\QQ
\WINNT\
\WINDOWS\

また、次のファイル名には感染しません。

/0xB4/0xF3/0xBB/0xB0/0xCE/0xF7/0xD3/0xCE/.exe
asktao.exe
au_unins_web.exe
audition.exe
autoupdate.exe
ca.exe
cabal.exe
cabalmain.exe
cabalmain9x.exe
config.exe
dbfsupdate.exe
dk2.exe
dragonraja.exe
flyff.exe
game.exe
gc.exe
hs.exe
kartrider.exe
main.exe
maplestory.exe
meteor.exe
mhclient-connect.exe
mjonline.exe
mts.exe
nbt-dragonraja2006.exe
neuz.exe
nmcosrv.exe
nmservice.exe
nsstarter.exe
patcher.exe
patchupdate.exe
sealspeed.exe
trojankiller.exe
userpic.exe
wb-service.exe
woool.exe
wooolcfg.exe
xlqy2.exe
xy2.exe
xy2player.exe
zfs.exe
zhengtu.exe
ztconfig.exe
zuonline.exe

ウイルスが影響を与えるファイルを選ぶ際、いくつかの他の基準も適用されます。主に対象となった実行可能な形式(ファイル)は、最後のセクションにウイルスのコードを追加される影響を受けます。

■共有フォルダ経由の拡散について

ウイルスは、ローカルネットワーク上の共有フォルダに自分自身を次のファイル名に変えてコピーします。

setup.exe

また、同じ場所に次のファイルを作成します。このファイルは、リムーバブルメディアを挿入した時に、自動でウイルスを実行させる仕組みを持ちます。

autorun.inf

■その他の情報

ウイルスは、次のWindows アプリケーションを終了させます。

c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo_1.exe
logo1_.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svhost32.exe
svch0st.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe

さらに、このウイルスは、インターネットを通じてリモート先にあるコンピュータへ様々な情報を送信することがあります。