キヤノンITソリューションズ：NOD32 アンチウイルス：Win32/Sality.NAO


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/Sality.NAO	公開日：2008年05月29日
このウイルスに関する危険度 :■■■□□

定義名称	Win32/Sality.NAO
シグネチャ検査による結果だった場合	Win32/Sality.NAO
種別	ウイルス
別名	Virus.Win32.Sality.y (Kaspersky), W32.Sality.AE (Symantec), W32/Sality.ae virus (McAfee)
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのウイルスを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Sality ウイルスの亜種」という名称で警告が出ます。
影響を受けるプラットフォーム	Microsoft Windows
概要	Win32/Sality.NAO ウイルスは、ポリモーフィック型でファイルに感染します。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/Sality.NAO ウイルスが実行されると、ウイルスは %system%\drivers\ フォルダに次のファイルをドロップします。

%variable%.sys (5941 B)

また、同じフォルダに次のファイルをドロップします。

new_drv.sys (7680 B)

※ %variable% は適当なテキストが入ります。

ウイルスは次の名前を使って、自分自身をサービスに登録をします。

IPFILTERDRIVER

次のレジストリを登録します。

[HKEY_CURRENT_USER\Software\%username%914]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%filename%" = "%filename%:*:Enabled:ipsec"

実行された命令は、Windows ファイアウォールプログラムで例外を登録します。

さらに、次のレジストリを設定します。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"GlobalUserOffline" = 0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system]
"EnableLUA" = 0

次のレジストリの登録を削除します。

[HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot]

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot]

■実行ファイルの感染について

Win32/Sality.NAO ウイルスは、ポリモーフィック型でファイルに感染します。ウイルスは活動する際、ローカルおよびネットワークドライブ上の次の拡張子のファイルを検索します。

.exe

.scr

実行可能なファイル形式において、名前で次の文字列のうちの1つを含むフォルダの中にない場合に限り感染を試みます。

SYSTEM
AHEAD

ファイルは、ウイルスを含む新しいセクションを加えることに影響されます。付け加えられたコードのサイズは57344バイトです。ホストファイルは、ウイルスがオリジナルのコードを実行させる前に、活動できるよう修正されます。

ウイルスは、次のレジストリ登録によって関連つけられるファイルに影響を与えます。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

この原因は、システム起動時にウイルスが実行されるためです。

■その他の情報

次のファイルを削除します。

*.vdb
*.avc
*drw*.key

次のサービスを無効にします。

ALG
aswUpdSv
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
BackWeb Plug-in - 4476822
bdss
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
fshttps
FSMA
InoRPC
InoRT
InoTask
ISSVC
KPF4
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt
PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
Symantec Core LC
Tmntsrv
TmPfw
tmproxy
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
AVP

ウイルスは、次の文字列を使ったウィンドウが生成される際にそのプログラムを停止させます。

dr.web

cureit

ウイルスはURLのリストを持っており、いくつかのファイルをダウンロードを試みます。ダウンロードが成功すると、次の場所に保存され、さらに実行されます。

%temp%\win%variable%.exe

%temp%\%variable%.exe

※ %variable% は適当なテキストが入ります。

ウイルスは、次のプロセスで、それ自身のプログラムコードで新しいスレッドを作成して実行させます。

%system%\notepad.exe
%system%\telnet.exe
%system%\regedt32.exe
%system%\write.exe
%system%\cmd.exe