検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
解説
■侵入(インストレーション)について
このウイルスは、実行時に次のファイルを移動します。(移動元、移動先)
%system%\wmicuclt.exe, %system%\wmicuclt
次のファイルのコピーを作成します。(コピー元、コピー先)
%system%\wscript.exe, %system%\wmicuclt.exe
次のファイルを改ざんします。
%system%\wmicuclt.exe
自身のプログラムコードをファイルに書き込みます。
次の名前を使用して自身をシステムサービスとして登録します。
Remote Access Connection Service (%system%\wmicuclt.exe)
次のレジストリーを登録します。
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
360rp]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
zhudongfangyu]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
ekrn]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
MsMpSvc]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
avp]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
V3 Service]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
AntiVirService]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
a2AntiMalware]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
FSORSPClient]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
FSMA]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
F-Secure Gatekeeper Handler Starter]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
kxescore]
!Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
kxesapp]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
AVGwd]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
AVGIDSAgent]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
NIS]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
avast! Antivirus]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
vsserv]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
mcshield]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
mcods]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
amsp]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
RsRavMon]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
SavService]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
PavFnSvr]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
pavsrv]
"Start" = 4
[HKEY_LOCAL_MACHINE\System\Select]
"v" = %malwarebody%
"plg" = "%variable1%"
"ext" = "%variable2%"
"tst" = "%variable3%"
"pu" = "%user%-%domain%"
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\
SafeBoot\Minimal\wmicucltsvc]
"(Default)" = "Service"
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\
Windows]
"NoPopUpsOnBoot" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting]
"DontshowUI" = 1
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
wmicucltsvc]
"Type" = 32
"Start" = 2
"ImagePath" = "%system%\wmicuclt.exe"
"DisplayName" = "Remote Access Connection Service"
"ObjectName" = "LocalSystem"
"Description" = "Stores security information for local
user accounts."
"WOW64" = "%variable4%"
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
wmicucltsvc\Security]
"Security" = "%variable5%"
variable1-5%には可変の文字列が入ります。
次のプロセスに自身のプログラムコードを挿入して新たなスレッドを作成、実行します。
svchost.exe
lsass.exe
■実行ファイルへの感染について
このウイルスは、ほかのファイルに感染するポリモーフィック型のマルウェアです。
感染する実行ファイルを固定ドライブで探します。また、リムーバブルドライブやネットワークドライブに保存されているファイルにも感染します。
次の拡張子を持つファイルを探します。
パスに次の文字列のいずれかが含まれているファイルは避けます。
windows
winnt
qq
Outlook
System Volume Information
RECYCLER
Internet Explorer
Movie Maker
Messenger
Common Files
Microsoft
感染は、実行ファイルの最後のセクションにウイルスのコードを付加することによって行われます。
付加されるプログラムコードの大きさは47KBです。
感染先のファイルは、本来のコードの前にウイルスが実行されるよう改ざんされます。
感染した実行ファイルのヘッダーに次のテキスト/マーカーを挿入します。
PPIF
このマーカーは、ファイルがすでに感染しているかどうかを判別するために使用されます。
■感染について
このウイルスは、共有フォルダーを介して感染を広げます。
ローカルネットワーク上の他のコンピューターの共有フォルダーに自身のコピーを試みます。
次のユーザー名を使用します。
administrator
admin
user
test
次のパスワードを使用します。
0
1
3
3.1415926
7
12
110
111
123
369
520
1111
1212
1234
1313
2000
2002
2003
2010
2011
2012
2112
2222
2600
3333
4128
4321
4444
5150
5555
6666
6969
7777
11111
12345
54321
100200
110110
111111
111222
112233
112358
121212
123123
123321
123456
123654
131313
147258
159357
168168
198612
201314
211314
222222
232323
333333
520520
521521
555555
654321
666666
696969
777777
789456
888888
987654
999999
1111111
1234567
1314520
1314521
5201314
5211314
7758258
7758521
7777777
11111111
11223344
12344321
12345678
20070315
22222222
31415926
77777777
88888888
123123123
123456789
147258369
987654321
1234567890
1.23321E+12
!@#$
!@#$%
!@#$%^
!@#$%^&*
!@#$%^&*()
!@#123
!@#123456
!password!
%u%
%u%1
%u%111111
%u%12
%u%123
%u%1234
%u%123456
123!@#
123456!@#
1234qwer
123abc
123asd
123pass
123qaz456wsx
123qwe
1pass
1q2w3e
1QAZ
1qaz2wsx
a
aaa
aaaa
aaaaaa
abc
abc123
abcd
abcd1234
access
adm1n
admin
Admin
admin!@#
admin!@#123
admin123
adminadmin
admini
administrator
alpha
asdf
asdfghjkl
baseball
batman
computer
database
dragon
enable
fangyou
foobar
football
fuck
fuckme
god
godblessyou
harley
home
hunter
ihavenopass
iloveyou
Internet
iwantu
jennifer
jordan
killer
letmein
login
Login
love
master
michael
mima
monkey
mustang
mypass
mypass123
mypassword
mypc
mypc123
oapass
oapassword
oracle
owner
P@ssW0rd
pa$$0rd
pass
pass0rd
pass123
pass123456
pass123word456
passpass
passwd
password
PASSWORD
Password
password1
pat
patrick
pc
princess
pussy
pw123
pwd
qazwsx
qazwsx123456
qwer
qwerty
qwertyuiop
ranger
robert
rock
rockyou
root
sa
secret
server
sex
shadow
soft
super
sybase
tasklist
temp
temp123
test
test123
testtest
thomas
tigger
trustno1
user
user123
win
windows
windows2000
windows2003
windowsxp
woaini
woaiwojia
xp
xxx
xxxx
xxxxx
xxxxxx
xxxxxxxx
yxcv
zxcv
zxcvbnm
zzzzzz
成功すると、次のファイルのコピーを作成します。(コピー元、コピー先)
\\%hostname%\ADMIN$\system32\wscript.exe,
\\%hostname%\ADMIN$\system32\wmicuclt.exe
次のファイルに感染します。
\\%hostname%\ADMIN$\system32\wmicuclt.exe
このファイルをリモートから実行します。
次の名前を使用して自身をシステムサービスとして登録します。
Remote Access Connection Service (wmicuclt.exe)
■その他の情報
このウイルスは、次のアドレスに接続します。
d.ppns.info
e.ppift.net
e.ppift.com
e.ppift.in
インターネットからファイルをダウンロードし、実行する場合があります。
実行中のプロセスに自身のプログラムコードを挿入して新たなスレッドを作成、実行する場合があります。
次のレジストリーを削除する場合があります。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run]
"V3 Session Process"
"MSC"
"F-Secure Manager"
"F-Secure TNB"
"a-squared"
"IKARUS-GuardX"
"ShStatEXE"
"Sophos AutoUpdate Monitor"
"AVP"
"AVG_TRAY"
"egui"
"360sd"
"360Tray"
"G Data AntiVirusTray Application"
"BDAgent"
"BitDefender Antiphishing Helper"
"avgnt"
"kxesc"
"Trend Micro Client Framework"
"RavTRAY"
"APVXDWIN"
[HKEY_USERS\%variable%\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run]
"V3 Session Process"
"MSC"
"F-Secure Manager"
"F-Secure TNB"
"a-squared"
"IKARUS-GuardX"
"ShStatEXE"
"Sophos AutoUpdate Monitor"
"AVP"
"AVG_TRAY"
"egui"
"360sd"
"360Tray"
"G Data AntiVirusTray Application"
"BDAgent"
"BitDefender Antiphishing Helper"
"avgnt"
"kxesc"
"Trend Micro Client Framework"
"RavTRAY"
"APVXDWIN"
%variable%には可変の文字列が入ります。
|