製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:E
ウイルス情報
ウイルス名危険度
W32/Expiro.gen.n
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
6590
対応定義ファイル
(現在必要とされるバージョン)
6802 (現在7607)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky - Virus.Win32.Expiro.w NOD32 - Win32/Expiro.NAF virus Norman - W32/Expiro_gen.A Symantec - W32.Xpiro.D
情報掲載日2012/08/16
発見日(米国日付)2012/08/13
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/29RDN/Generic....
10/29Generic.bfr!...
10/29Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7607
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Expiroは、自身のウイルスコードをホストに付加し、実行ファイルに寄生して感染するウイルスです。また、他のマルウェアをダウンロードし、システム情報を盗み出す可能性があります。

ウイルスの特徴TOPに戻る

W32/Expiro.gen.nは、自身のウイルスコードをホストに付加し、実行ファイルに寄生して感染するウイルスです。

W32/Expiro.gen.nは、悪質なコードを挿入してexeファイルに感染します。また、ファイル名.virというフォ―マットで感染ファイルのコピーを作成します。システム情報を盗み出し、リモート攻撃者に送信する可能性があります。

W32/Expiroはシステム内のすべてのPE実行ファイルを検索して感染します。ただし、以下の特徴を持つファイルには感染しません。

  • データオーバーレイあり
  • ヘッダに追加のセクションデータを格納する十分なスペースがない
  • すでに感染しているファイル
  • DLLおよびドライバファイル

・新しいセクションを追加し、自身のウイルスコードをホストに付加して感染します。最新の亜種は「PACK」という名前でセクションを追加します。追加されるセクションのサイズは0x28000バイト前後です。

感染した実行ファイルのセクションデータは以下のように見えます。

実行時に自身のコードを実行するため、ホストファイルのエントリポイントのコードを置き換えます。置き換えられたコードのデータは、以下のとおり、新しいセクションに移されます

感染ファイルの症状は以下のとおりです。

  • ファイルのサイズが140KB以上増えます。
  • ファイルのタイムスタンプが変更されます。
  • PEファイルの最後のセクションの名前がPACKになります。

実行中、W32/Expiro.gen.nが一度に1回だけ動作するよう、mutexが作成されます。mutexの名前は以下のとおりです。

  • gazavat-svc{ランダムな数字}
  • gazavat-svc

暗号化されたマルウェアのコードは以下のとおりです。

注:この場合、XOR暗号化キーは0x5Dになります。キーはファイルによって異なります。

W32/Expiro.gen.nは以下の機密情報を収集する可能性があります。

  • インストールされている証明書
  • FileZillaによって格納された資格情報
  • Windows Protected Storageによって格納された資格情報
  • Internet Explorerによって以下のレジストリ項目に格納されたパスワード
    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2

以下の悪質でないファイルに盗み出した資格情報を記録します。

  • %UserProfile%\Local Settings\Application Data\wsr{ランダムな2桁の数字}zt32.dll

また、Firefoxのエクステンションフォルダに以下のファイルを追加して、Firefoxのエクステンションをインストールします。

  • {ec9032c7-c20a-464f-7b0e-13a3a9e97385}\components\red.js
  • {ec9032c7-c20a-464f-7b0e-13a3a9e97385}\install.rdf
  • {ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome\content.jar
  • {ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome.manifest

乗っ取ったユーザを以下のドメインにリダイレクトする可能性があります。

  • stopbadware.org
  • gektar-promarenda.ru
  • cashing.cc
  • hdecub-ydyg.ry
  • directconnection.ws
  • mediaportal-2016.ru
  • kamlashop-ultras.org
  • theplan-from-iran.net
  • erussia-govsvc.ru
  • ijmash-gunszavod.ru
  • egypt-bizneonet.biz
  • hlop-v-job.ru
  • pasha-mers50.ru
  • entry-retails555.biz

実行時、リモートポート53を介して、以下のURLとIPアドレスに接続しようとします。

  • 220.225. [削除].85
  • zavrchcks[削除]z.ru
  • pdecub-[削除].ru
  • pgefa-[削除].com
  • zerrbl[削除]gz.cc
  • indirs-[削除].ws
  • pkegy-[削除].com
  • pmyjo-[削除].com
  • ppykyb-[削除].ru
  • insecto-[削除].ru
  • psymi-[削除].com
  • kgbr[削除]z.ru
  • pvypeb-[削除].ru
  • pvypeb-[削除].ru
  • 64.70. [削除].33
  • 202.54. [削除].60
  • 202.54. [削除].5

以下はリモートポート137(NetBIOS)を介して接続しようとするURLとIPアドレスです。

  • pgefa-[削除].com
  • pkegy-[削除].com

以下はリモートポート80(HTTP)を介して接続しようとするURLとIPアドレスです。

  • 64.70. [削除].33
  • indirs-[削除].ws
  • 109.236. [削除].70
  • international-[削除].ru
  • greatsouthoffshore.com
  • angar-promarenda.ru
  • kasperskygayformula.biz
  • microavrc-usb33bit.com
  • leninheadshop.ru
  • fdecub-ydyg.ru
  • fgefa-bugin.com
  • fkegy-bikav.com
  • indirs-vostok.ws
  • fmyjo-boneb.com

実行時、以下の場所にファイルを作成します。

  • %AllUsersProfile%\Application Data\acbdfbig25.nls
  • %WINDIR%\system32\[感染ファイル名].vir

上記はW32/Expiro.gen.nによって作成されるファイルで、拡張子が.virの感染ファイルのコピーです。

以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\PersistentHandler
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CISVC

以下のレジストリキー値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.hta\PersistentHandler\: "{GUID}"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CISVC\0000\Control\
  • *NewlyCreated*: 0x00000000
  • ActiveService: "CiSvc"
  • Service: "CiSvc"
  • Legacy: 0x00000001
  • ConfigFlags: 0x00000000
  • Class: "LegacyDriver"
  • ClassGUID: "{GUID}"
  • DeviceDesc: "Indexing Service"
  • NextInstance: 0x00000001

以下のレジストリキー値が改変されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent\: 0x00000012
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent\: 0x00000014
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv\Start: 0x00000004
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\clr_optimization_v2.0.50727_32\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\clr_optimization_v2.0.50727_32\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmadmin\Type: 0x00000020
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmadmin\Type: 0x00000120
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmadmin\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmadmin\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\idsvc\Type: 0x00000020
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\idsvc\Type: 0x00000120
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\idsvc\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\idsvc\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ImapiService\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ImapiService\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ImapiService\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ImapiService\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnmsrvc\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnmsrvc\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Type: 0x00000020
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Type: 0x00000120
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDE\Start: 0x00000004
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDE\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDE\Type: 0x00000020
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDE\Type: 0x00000120
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDSessMgr\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDSessMgr\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDSessMgr\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDSessMgr\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcapd\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcapd\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcapd\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcapd\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RSVP\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RSVP\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RSVP\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RSVP\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Start: 0x00000004
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiApSrv\Type: 0x00000010
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiApSrv\Type: 0x00000110
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiApSrv\Start: 0x00000003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiApSrv\Start: 0x00000002

上記のレジストリ項目により、W32/Expiro.gen.nがすべてのシステムサービスに感染し、システムが再起動するたびに自動的に起動するようにします。

以下は感染マシンから収集される情報で、リモートポート(http)を介してリモート攻撃者に送信されます。

  • GetLocaleInfoA
  • GetSystemInfo
  • gethostbyname
  • GetUserNameA
  • GetComputerNameA
  • GetVolumeInformationA

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルおよびレジストリの活動が見られます。

・上記のネットワーク接続が存在します。

感染方法TOPへ戻る

・W32/Expiroはマウントされている共有フォルダ、ポータブルドライブを含むすべてのドライブの実行ファイルを検索して感染します。ドライブが他のシステムで使用されると、感染した実行ファイルがそのシステムのファイルに感染する可能性があります。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。