Win32/Alman.NAB

公開日:2017年02月01日

危険度:1

定義名称 Win32/Alman.NAB
シグネチャ検査による結果だった場合 Win32/Alman.NAB
別名 Virus.Win32.Alman.b(Kaspersky)、W32.Almanahe.B!inf(Symantec)、Virus:Win32/Almanahe.B(Microsoft)、Win32.Alman.1(Dr.Web)
種別 ウイルス
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Alman.NABの亜種 ウイルス」という名称で警告が出ます。
対応時期 バージョン10425(20070605)以降
影響を受けるプラットフォーム Microsoft Windows
概要 このウイルスは、ほかのファイルに感染するポリモーフィック型のマルウェアです。rootkitによく見られる手法を用いています。詳しい活動内容については、下記をご参照ください。

検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、環境変数を利用して各ファイルやディレクトリへのパスを表記しています。

例:
%windir% : Windowsオペレーティングシステムがインストールされたディレクトリのパス(インストール時の設定により異なる場合があります)。
%system% : %windir% のサブディレクトリである"System"や"System32"のパス。
%malwarefilepath% : マルウェアプログラムまでのパス。
%malwarefilename% : マルウェアプログラムまでのファイル名。

その他に関しては、以下のページも参考にしてください。
Microsoft Malware Protection Center - Malware help
Common Folder variables

解説

侵入(インストレーション)について

このウイルスは、実行時に次のファイルを作成します。

%windir%\linkinfo.dll (53248 B, Win32/Alman.NAD)
%systemroot%\drivers\cdralw.sys (15872 B, Win32/Alman.NAD)
%systemroot%\drivers\IsDrv122.sys (15872 B, Win32/Alman.NAD)
%systemroot%\System32\drivers\eftcny.sys

linkinfo.dllライブラリーは、次のプロセスにインジェクトされる場合があります。

explorer.exe

次のファイルを作成する場合があります。

%windir%\AppPatch\AcPlugin.dll
%windir%\AppPatch\AcPlugin.dll.new
%temp%\%variable%

次のレジストリーエントリーを設定します。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdralw]
"ErrorControl" = 0
"Start" = 2
"Type" = 1
"Tag" = 7
"Group" = "Pointer Port"
"ImagePath" = "system32\DRIVERS\nvmini.sys"
"DisplayName" = "NVIDIA Compatible Windows Miniport Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdralw\Security]
"Security"= "%variable%"

次のレジストリーエントリーを設定する場合があります。

[HKEY_LOCAL_MACHINE\Software\Google]
"Version" = "%variable%"
"%number%" = "%variable%"

%number%と%variable%には可変の文字列が入ります。

ファイル感染

このウイルスは、ほかのファイルに感染するポリモーフィック型のマルウェアです。

次の拡張子を持つファイルをローカルドライブとネットワークドライブで探します。

.exe

感染は、実行ファイルの最後のセクションにウイルスのコードを付加することによって行われます。

感染先のファイルは、本来のコードの前にウイルスが実行されるよう改ざんされます。

パスに次の文字列のいずれかが含まれているファイルは避けます。

QQ
WINNT
WINDOWS
LOCAL SETTINGS\TEMP

次の名前のファイルは感染しません。

zhengtu.exe
audition.exe
kartrider.exe
nmservice.exe
ca.exe
nmcosrv.exe
nsstarter.exe
maplestory.exe
neuz.exe
zfs.exe
gc.exe
mts.exe
hs.exe
mhclient-connect.exe
dragonraja.exe
nbt-dragonraja2006.exe
wb-service.exe
game.exe
xlqy2.exe
sealspeed.exe
asktao.exe
dbfsupdate.exe
autoupdate.exe
dk2.exe
main.exe
userpic.exe
zuonline.exe
config.exe
mjonline.exe
patcher.exe
meteor.exe
cabalmain.exe
cabalmain9x.exe
cabal.exe
au_unins_web.exe
xy2.exe
flyff.exe
xy2player.exe
trojankiller.exe
patchupdate.exe
ztconfig.exe
woool.exe
wooolcfg.exe
wow.exe
repair.exe
launcher.exe

共有フォルダーを経由した感染について

このウイルスは、ローカルネットワーク上のコンピューターを探します。

次の名前を使用してリモートのコンピューターのC:\ドライブのルートフォルダーに自身をコピーしようとします。

setup.exe

このファイルをリモートから実行します。

次のユーザー名を使用します。

Administrator

次のパスワードを使用します。

(空のパスワード)
admin
1
111
123
aaa
12345
123456789
654321
!@#$
asdf
asdfgh
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
qwer
admin123
love
test123
owner
mypass123
root
letmein
qwerty
abc123
password
monkey
password1

情報の取得

このウイルスは、次の情報を収集します。

ボリュームシリアル番号
CPUの情報
OSのバージョン
Internet Explorerのバージョン
インストールされているアンチウイルスソフトウェア

収集した情報をリモートのコンピューターに送信しようとします。

複数のURLを保持しています。通信にはHTTPプロトコルが使用されます。

その他の情報

このウイルスは、インターネットからファイルをダウンロードして実行する場合があります。

ダウンロードしたファイルを次の場所に保存します。

%temp%\%variable%
%windir%\AppPatch\AcPlugin.dll

次のファイルを改ざんする場合があります。

%system%\drivers\RsBoot.sys

さまざまなセキュリティソフトウェアを無効にします。

パスに次の文字列のいずれかが含まれているプロセスを終了させます。

sxs.exe
lying.exe
logo1_.exe
logo_1.exe
fuckjacks.exe
spoclsv.exe
nvscv32.exe
svch0st.exe
c0nime.exe
iexpl0re.exe
ssopure.exe
upxdnd.exe
wdfmgr32.exe
spo0lsv.exe
ncscv32.exe
iexpl0re.exe
ctmontv.exe
svhost32.exe
rundl132.exe
msvce32.exe
rpcs.exe
sysbmw.exe
tempicon.exe
sysload3.exe
run1132.exe
msdccrt.exe
wsvbs.exe
cmdbcs.exe
\com\lsass.exe
\com\smss.exe
\winnt\iexplore.exe
\system\internat.exe
\winnt\realschd.exe
\windows\iexplore.exe
\windows\realschd.exe
\program files\explorer.exe

次のWindows APIをフックして、入力データやメッセージを横取りします。

ZwLoadDriver (ntoskrnl.exe, ntkrnlmp.exe, ntkrnlpa.exe, ntkrpamp.exe)
ZwEnumerateKey (ntoskrnl.exe, ntkrnlmp.exe, ntkrnlpa.exe, ntkrpamp.exe)
ZwClose (ntoskrnl.exe, ntkrnlmp.exe, ntkrnlpa.exe, ntkrpamp.exe)
ZwQueryDirectoryFile (ntoskrnl.exe, ntkrnlmp.exe, ntkrnlpa.exe, ntkrpamp.exe)
ZwSaveKey (ntoskrnl.exe, ntkrnlmp.exe, ntkrnlpa.exe, ntkrpamp.exe)
ZwDeleteKey (ntoskrnl.exe, ntkrnlmp.exe, ntkrnlpa.exe, ntkrpamp.exe)
ZwDeleteValueKey (ntoskrnl.exe, ntkrnlmp.exe, ntkrnlpa.exe, ntkrpamp.exe)