キヤノンITソリューションズ：NOD32 アンチウイルス：Win32/Alman.NAD


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/Alman.NAD	公開日：2008年02月07日
このウイルスに関する危険度 :■■■□□

定義名称	Win32/Alman.NAD
シグネチャ検査による結果だった場合	Win32/Alman.NAD ウイルス
種別	ウイルス
別名	Virus.Win32.Alman.b (Kaspersky), W32.Almanahe.B!inf (Symantec), W32/Almanahe.c (McAfee)
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのウイルスを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Alman ウイルスの亜種」という名称で警告が出ます。
影響受けるプラットフォーム	Microsoft Windows
概要	Win32/Alman.NAD ウイルスは、ポリモーフィック型でファイルに感染します。また、ルートキット技術を利用します。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/Alman.NAD ウイルスが実行されると、次のファイルを %windir% フォルダへドロップします。

linkinfo.dll (53248 B)

次のファイルは、 %system%\drivers フォルダへドロップされます。

cdralw.sys (15872 B)

IsDrv122.sys (15872 B)

次のレジストリが登録されます。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%variable%]
"DisplayName" = "NVIDIA Compatible Windows Miniport Driver"
"ImagePath" = "%system%\drivers\%variable%.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%variable%]
"NextInstance" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%variable%\0000]
"Service" = "%variable%"
"Legacy" = 1
"ConfigFlags" = 0
"Class" = "LegacyDriver"
"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc" = "%variable%"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%variable%\0000\Control]
"NewlyCreated" = 0
"ActiveService" = "%variable%"

レジストリにある %variable% には、次の文字列のうち1つが入ります。

nvmini
cdralw

■実行ファイルの感染について

Win32/Alman.NAD ウイルスは、変形してファイルに感染し、実行ファイルに影響を与えます。ウイルスは、ローカルドライブ上にある次の拡張子のファイルを探します。

.exe

検索する際、次の文字列が含まれるパスは無視されます。

LOCAL SETTINGS\TEMP\
\QQ
\WINDOWS\
\WINNT\

また、次のファイル名は無視されます。

asktao.exe
au_unins_web.exe
audition.exe
autoupdate.exe
ca.exe
cabal.exe
cabalmain.exe
cabalmain9x.exe
config.exe
dbfsupdate.exe
dk2.exe
dragonraja.exe
flyff.exe
game.exe
gc.exe
hs.exe
kartrider.exe
main.exe
maplestory.exe
meteor.exe
mhclient-connect.exe
mjonline.exe
mts.exe
nbt-dragonraja2006.exe
neuz.exe
nmcosrv.exe
nmservice.exe
nsstarter.exe
patcher.exe
patchupdate.exe
sealspeed.exe
trojankiller.exe
userpic.exe
wb-service.exe
woool.exe
wooolcfg.exe
xlqy2.exe
xy2.exe
xy2player.exe
zfs.exe
ztconfig.exe
zuonline.exe
launcher.exe
repair.exe
wow.exe
zhengtu.exe
/0xB4/0xF3/0xBB/0xB0/0xCE/0xF7/0xD3/0xCE/.exe

感染対象となった実行可能ファイルの最後のセクションにウイルスのコードを追加し、そのファイルに影響を与えます。感染を行うホストファイルは、ウイルスがオリジナルのコードを実行する前に、ウイルスが実行できるよう修正されます。このウイルスのコードのサイズは、36352 バイトです。

■共有フォルダを経由した拡散について

ウイルスは、ネットワークドライブを検索します。リモート先のコンピュータ上にある C:\ ドライブのルートフォルダに次のファイル名を使用して自分自身のコピーを試みます。

setup.exe

ファイルがリモートで実行する際は、次のユーザー名を使用します。

Administrator

その時のパスワードは、次のものが使用されます。

admin
1
111
123
aaa
12345
123456789
654321
!@#$
asdf
asdfgh
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
qwer
admin123
love
test123
owner
mypass123
root
letmein
qwerty
abc123
password
monkey
password1

■その他の情報

次のプログラムを停止します。

c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo_1.exe
logo1_.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svhost32.exe
svch0st.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe

次の文字列を含むパス上で実行されているプロセスは無視されます。

\com\
\winnt\
\windows\
\system\
\program files\

ただし、ウイルスはファイルを削除します。

さらに、ウイルスは次のレジストリを登録する場合があります。

[HKEY_LOCAL_MACHINE\Software\Google]

ウイルスは、コンピュータの電源を落とすことがあります。

ウイルスは、URLアドレスを持っており、インターネットからファイルをダウンロードして実行します。