キヤノンITソリューションズ：ESET Smart Security & ESET NOD32アンチウイルス：Win32/Wapomi.E


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/Wapomi.E	公開日：2010年8月20日
このウイルスに関する危険度 :■■■□□

定義名称	Win32/Wapomi.E
シグネチャ検査による結果だった場合	Win32/Wapomi.E
別名	Worm.Win32.Qvod.akg (Kapersky), Virus:Win32/Jadtre.gen!A (Microsoft), W32.Wapomi.B (Symantec)
種別	ウイルス
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのウイルスを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Wapomi.E ウイルスの亜種」という名称で警告が出ます。
対応時期	バージョン 5357 (20100811) 以降
影響を受けるプラットフォーム	Microsoft Windows
概要	このウイルスは、ファイルに感染します。このウイルスは、インターネットから様々なファイルをダウンロードし、実行しようと試みます。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。
%allusersprofile%はAll Usersのマイドキュメントディレクトリ、%temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。
%drive%には、任意のドライブ名が入ります。

解説

■侵入(インストレーション)について

このウイルスは、実行時に次のファイルを作成します。

%system%\drivers\%random%.sys
※ %random% には、適当な文字列が入ります。

次のシステムドライバをインストールします。

%system%\drivers\%random%.sys

次のサービスを無効にします。

AppMgmt (appmgmts.dll)
BITS (qmgr.dll)
Browser (browser.dll)
CryptSvc (cryptsvc.dll)
EventSystem (es.dll)
FastUserSwitchingCompatibility (shsvcs.dll)
Netman (netman.dll)
Nla (mswsock.dll)
Ntmssvc (ntmssvc.dll)
RemoteRegistry (regsvc.dll)
Schedule (schedsvc.dll)
SSDPSRV (ssdpsrv.dll)
Tapisrv (tapisrv.dll)
WmdmPmSN (mspmsnsv.dll)
xmlprov (xmlprov.dll)

このウイルスは、次のファイル自身のコピーと置き換えようと試みます。

%system%\appmgmts.dll
%system%\browser.dll
%system%\cryptsvc.dll
%system%\es.dll
%system%\mspmsnsv.dll
%system%\mswsock.dll
%system%\netman.dll
%system%\ntmssvc.dll
%system%\qmgr.dll
%system%\regsvc.dll
%system%\schedsvc.dll
%system%\shsvcs.dll
%system%\ssdpsrv.dll
%system%\tapisrv.dll
%system%\xmlprov.dll

次のレジストリを作成します。

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\%stoppedservicename%]
"Start" = 2

■その他の情報

このウイルスは、ファイルに感染します。

このウイルスは、RARで圧縮されたファイルの中のexeの拡張子持つ実行形式を含んだ、すべてのexeの拡張子を持つ実行形式に感染します。

このウイルスは、感染したファイルをリムーバブルメディアとネットワークドライブに保存します。

パス名に、次の文字列が含まれていると感染しません。

Common Files
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Internet Explorer
Messenger
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
NetMeeting
Outlook Express
RECYCLER
System Volume Information
Thunder
Thunder Network
WINDOWS
Windows Media Player
Windows NT
WindowsUpdate
WinNT
WinRAR

ファイルは、ウイルスを含んだ新しいセクションを追加することによって感染します。

オリジナルのコードを実行する以前にウイルスが実行されるため、hostファイルが変更されます。

92672 Bのコードが追加されます。

■リムーバブルメディアによる感染

このウイルスは、次の場所に自分自身をコピーします。

%drive%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\install.exe

このウイルスは、次のファイルを作成します。

%drive%\autorun.inf

このようにして、コンピュータに感染したメディアを接続するたびに、このウイルスを確実に実行させます。

■共有フォルダを経由した感染

このウイルスは共有フォルダを検索します。

このウイルスは、検索したフォルダに自分自身のコピーを作成しようと試みます。

次のユーザー名を使用します。

Administrator
Guest
admin
Root

次のパスワードを使用します。

0
1
7
12
110
111
123
520
1111
1234
1313
2002
2003
2112
2600
5150
6969
7777
12345
54321
111111
121212
123123
123456
654321
901100
1234567
5201314
11111111
12345678
88888888
123456789
1234qwer
123abc
123asd
123qwe
a
aaa
abc
abc123
abcd
admin
admin123
administrator
alpha
asdf
baseball
ccc
computer
database
enable
fish
fuck
fuckyou
god
godblessyou
golf
harley
home
ihavenopass
letmein
login
Login
love
mustang
mypass
mypass123
mypc
mypc123
owner
pass
passwd
password
pat
patrick
pc
pussy
pw
pw123
pwd
qq520
qwer
qwerty
root
server
sex
shadow
super
sybase
temp
temp123
test
test123
win
xp
xxx
yxcv
zxcv

次のファイル名を使用します。

%variable%.exe
※ %variable% には、適当な文字列が入ります。

■その他の情報

次のプログラムを終了させます。

360hotfix.exe
360rp.exe
360rpt.exe
360safe.exe
360safebox.exe
360sd.exe
360se.exe
360SoftMgrSvc.exe
360SoftMgrSvc.exe
360speedld.exe
360tray.exe
360tray.exe
afwServ.exe
ast.exe
AvastUI.exe
avcenter.exe
avfwsvc.exe
avgnt.exe
avgnt.exe
avguard.exe
avguard.exe
avguard.exe
avmailc.exe
avp.exe
avshadow.exe
avwebgrd.exe
avwebgrd.exe
bdagent.exe
CCenter.exe
ccSvcHst.exe
dwengine.exe
egui.exe
ekrn.exe
FilMsg.exe
kavstart.exe
kissvc.exe
kmailmon.exe
kpfw32.exe
kpfwsvc.exe
krnl360svc.exe
ksmgui.e
ksmsvc.exe
kswebshield.exe
KVMonXP.kxp
KVSrvXP.exe
kwatch.exe
livesrv.exe
Mcagent.exe
mcmscsvc.exe
McNASvc.exe
Mcods.exe
McProxy.exe
McSACore.exe
Mcshield.exe
mcsysmon.exe
mcvsshld.exe
MpfSrv.exe
MPMon.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
msksrver.exe
qutmserv.exe
RavMonD.exe
RavTask.exe
RsAgent.exe
rsnetsvr.exe
RsTray.exe
safeboxTray.exe
ScanFrm.exe
sched.exe
sched.exe
sched.exe
seccenter.exe
SfCtlCom.exe
spideragent.exe
SpIDerMl.exe
spiderntexe
spiderui.exe
TMBMSRV.exe
TmProxy.exe
Twister.exe
UfSeAgntexe
vsserv.exe
zhudongfangyu.exe

次のレジストリを登録します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360hotfix.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rp.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360sd.exe]
"Debugger " = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360se.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360SoftMgrSvc.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360speedld.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\afwServ.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ast.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvastUI.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avfwsvc.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avguard.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avmailc.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avshadow.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avwebgrd.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwengine.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FilMsg.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kissvc.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kmailmon.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpfw32.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpfwsvc.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\krnl360svc.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ksmgui.e]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ksmsvc.exe]"
Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kswebshield.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kwatch.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\livesrv.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mcagent.exe]"
Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcmscsvc.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\McNASvc.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mcods.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\McProxy.exe]
Debugger"= "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\McSACore.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mcshield.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcsysmon.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcvsshld.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MpfSrv.exe]"
Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPMon.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC1.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC2.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msksrver.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qutmserv.exe]
"Debugger" "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsnetsvr.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsTray.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxTray.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ScanFrm.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sched.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\seccenter.exe]
"Debugger" ="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SfCtlCom.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spideragent.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SpIDerMl.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spidernt.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spiderui.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TMBMSRV.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TmProxy.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Twister.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UfSeAgnt.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe]
"Debugger" "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zhudongfangyu.exe]
"Debugger" = "ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\%process%]
"Debugger" = "ntsd -d"

レジストリを変更することによって、特定のファイルを実行させないようにします。

このウイルスは、インターネットからマルウェアをダウンロードしようと試みます。

このウイルスには、URLの一覧が登録されています。登録されたアドレスから様々なファイルをダウンロードしようと試みます。HTTPプロトコルを使用します。

ダウンロードされたファイルには、暗号化された実行形式が含まれます。

ダウンロードされたファイルは、次の場所に保存されます。

%temp%\%random%.rar
%temp%\%random%.exe
※ %random% には、適当な文字列が入ります。

このウイルスは、復号されたファイルを実行します。

次のファイルを変更します。

%system%\drivers\etc\hosts

このウイルスは、サーバーサービスの脆弱性を攻撃して感染するものです。このぜい弱性については、CVE-2008-4250に記述されています。

このウイルスは、インターネットブラウザで次のURLを開きます。

http://208.98.24.254:8080/mac.htm?108