製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:E
ウイルス情報
ウイルス名危険度
W32/Expiro.dr
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
7062
対応定義ファイル
(現在必要とされるバージョン)
7127 (現在7565)
対応エンジン5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名Drweb - Win32.Expiro.56
Fortinet - W32/Expiro.NBF
Microsoft - TrojanDropper:Win32/Expiro.D
Symantec - W32.Xpiro.D
NOD32 - Win32/Expiro.NBF
情報掲載日2013/07/17
発見日(米国日付)2013/07/15
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

W32/Expiroは、自身のウイルスコードをホストに付加し、実行ファイルに寄生して感染するウイルスです。また、他のマルウェアをダウンロードし、システム情報を盗み出す可能性があります。

ウイルスの特徴TOPに戻る

W32/Expiro.drは、マップされているすべてのシステムドライブとリムーバブルドライブで見つかったすべてのexeファイルに感染するウイルスです。

W32/Expiro.drは、悪質なコードを挿入してexeファイルに感染します。また、ファイル名.virという名前で感染ファイルのコピーを作成します。さらに、システム情報を盗み出し、リモート攻撃者に送信する可能性があります。

W32/Expiro.drはシステム内のPE実行ファイルを検索して感染します。ただし、以下の特徴を持つファイルには感染しません。

  • データオーバーレイあり
  • ヘッダに追加のセクションデータを格納する十分なスペースがない
  • すでに感染しているファイル
  • DLLおよびドライバファイル

W32/Expiro.drにより、最後のセクションのサイズが約0x28000バイト増えます。

実行時、リモートポート53および137を介して、以下のURLとIPアドレスに接続しようとします。

  • Kasp[削除]ay-formula.in
  • fd[削除]dyg.ru
  • greatts[削除]fshore.com
  • angar-pr[削除]nda.ru
  • mkz-co[削除]ores.cc
  • fgefa-[削除]gin.com
  • fke[削除]-bikav.com
  • www.mi[削除]rc-usb33bit.com
  • lenin[削除]shop.ru
  • kgbr[削除]xlub.ru
  • fmyjo[削除]neb.com
  • fpyky[削除].ru
  • www.kas[削除]kygay-formula.in
  • fsymi-[削除]op.com
  • visuali[削除]ionist.com
  • fvype[削除]xav.ru
  • grewz-p[削除]er.ru
  • indirs-[削除]tok.ws
  • fzuqib-[削除]c.ru
  • shut-up-[削除]is.ru
  • fcus[削除].com
  • mic[削除]c-usb33bit.com
  • ffuvu[削除].ru
  • fjixab-[削除]w.ru
  • flizyb[削除].ru

実行時、以下の場所にファイルを作成します。

  • %USERPROFILE%\Local Settings\Application Data\wsr28zt32.dll
  • %WINDIR%\system32\config\systemprofile\Local Settings\Application Data\VMware\hgfs.dat
  • %WINDIR%\system32\cisvc.vir
  • %WINDIR%\system32\cisvc.exe
  • %WINDIR%\system32\clipsrv.vir
  • %WINDIR%\system32\clipsrv.exe
  • %WINDIR%\system32\dmadmin.vir
  • %WINDIR%\system32\dmadmin.exe
  • %WINDIR%\system32\imapi.vir
  • %WINDIR%\system32\imapi.exe
  • %WINDIR%\system32\sessmgr.vir
  • %WINDIR%\system32\sessmgr.exe
  • %WINDIR%\system32\smlogsvc.vir
  • %WINDIR%\system32\smlogsvc.exe
  • %WINDIR%\system32\tlntsvr.vir
  • %WINDIR%\system32\tlntsvr.exe

上記はW32/Expiro.drによって作成されるファイルで、拡張子が.virの感染ファイルのコピーを作成します。

また、Firefoxのエクステンションフォルダに以下のファイルを追加して、Firefoxのエクステンションをインストールします。

  • %APPDATA%\Mozilla\Firefox\Profiles\09jjiuwy.default\extensions\{GUID}\chrome\content.jar
  • %APPDATA%\Mozilla\Firefox\Profiles\09jjiuwy.default\extensions\{GUID}\chrome.manifest
  • %APPDATA%\Mozilla\Firefox\Profiles\09jjiuwy.default\extensions\{GUID}\components\red.js
  • %APPDATA%\Mozilla\Firefox\Profiles\09jjiuwy.default\extensions\{GUID}\install.rdf

以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.xml\PersistentHandler
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.xsl\PersistentHandler
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\PersistentHandler
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\PersistentHandler
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\PersistentHandler
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\PersistentHandler

以下のレジストリキー値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.xml\PersistentHandler\: "{GUID}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.xsl\PersistentHandler\: "{GUID}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\PersistentHandler\: "{GUID}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\PersistentHandler\: "{GUID}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\PersistentHandler\: "{GUID}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\PersistentHandler\: "{GUID}"
  • 以下のレジストリキー値が改変されます。
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\
  • 1609: 0x00000001
  • 1609: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\
  • 1406: 0x00000001
  • 1406: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\
  • o 1609: 0x00000001
  • o 1609: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\
  • o 1406: 0x00000003
  • o 1406: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\
  • o 1609: 0x00000001
  • o 1609: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
  • o 1406: 0x00000003
  • o 1406: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
  • o 1609: 0x00000001
  • o 1609: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
  • o 2103: 0x00000003
  • o 2103: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\
  • o 1406: 0x00000003
  • o 1406: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\
  • o 1609: 0x00000001
  • o 1609: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\
  • o 2103: 0x00000003
  • o 2103: 0x00000000

上記のレジストリキー値により、インターネット設定を下げ、機密情報を盗み出すことができるようにします。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent\: 0x00000015
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent\: 0x0000001A
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv\Start: 0x00000004
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmadmin\Type: 0x00000020
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmadmin\Type: 0x00000120
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmadmin\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmadmin\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\idsvc\Type: 0x00000020
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\idsvc\Type: 0x00000120
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\idsvc\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\idsvc\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ImapiService\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ImapiService\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ImapiService\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ImapiService\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnmsrvc\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnmsrvc\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MozillaMaintenance\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MozillaMaintenance\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MozillaMaintenance\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MozillaMaintenance\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDSessMgr\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDSessMgr\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDSessMgr\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDSessMgr\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcapd\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcapd\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcapd\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcapd\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Start: 0x00000004
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiApSrv\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiApSrv\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiApSrv\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiApSrv\Start: 0x00000002
  • 0x00000004
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start: 0x00000004

上記のレジストリ項目により、W32/Expiro.drがすべてのシステムサービスに感染し、スタートタイプを自動に設定して、システム起動時にウイルスコードが実行されるようにします。

以下は感染マシンから収集される情報で、リモートポート(http)を介してリモート攻撃者に送信されます。

  • GetLocaleInfoA
  • GetSystemInfo
  • gethostbyname
  • GetUserNameA
  • GetComputerNameA
  • GetVolumeInformationA

実行中、W32/Expiro.drが一度に1回だけ動作するよう、mutexが作成されます。mutexの名前は以下のとおりです。

  • kkq-vx_mtx1
  • kkq-vx_mtx28

W32/Expiro.drは以下の機密情報を収集する可能性があります。

・インストールされている証明書

・FileZillaによって格納された資格情報

・Windows Protected Storageによって格納された資格情報

・Internet Explorerによって以下のレジストリ項目に格納されたパスワード

o HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリの活動が見られます。
  • ファイルのサイズが28000KB以上増えます。
  • ファイルのタイムスタンプが変更されます。

感染方法TOPへ戻る

W32/Expiroはマウントされている共有フォルダ、ポータブルドライブを含むすべてのドライブの実行ファイルを検索して感染します。ドライブが他のシステムで使用されると、感染した実行ファイルがそのシステムのファイルに感染する可能性があります。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。