W32/Expiro.gen.nは、自身のウイルスコードをホストに付加し、実行ファイルに寄生して感染するウイルスです。
W32/Expiro.gen.nは、悪質なコードを挿入してexeファイルに感染します。また、ファイル名.virというフォ―マットで感染ファイルのコピーを作成します。システム情報を盗み出し、リモート攻撃者に送信する可能性があります。
W32/Expiroはシステム内のすべてのPE実行ファイルを検索して感染します。ただし、以下の特徴を持つファイルには感染しません。
- データオーバーレイあり
- ヘッダに追加のセクションデータを格納する十分なスペースがない
- すでに感染しているファイル
- DLLおよびドライバファイル
・新しいセクションを追加し、自身のウイルスコードをホストに付加して感染します。最新の亜種は「PACK」という名前でセクションを追加します。追加されるセクションのサイズは0x28000バイト前後です。
感染した実行ファイルのセクションデータは以下のように見えます。
実行時に自身のコードを実行するため、ホストファイルのエントリポイントのコードを置き換えます。置き換えられたコードのデータは、以下のとおり、新しいセクションに移されます。
感染ファイルの症状は以下のとおりです。
- ファイルのサイズが140KB以上増えます。
- ファイルのタイムスタンプが変更されます。
- PEファイルの最後のセクションの名前がPACKになります。
実行中、W32/Expiro.gen.nが一度に1回だけ動作するよう、mutexが作成されます。mutexの名前は以下のとおりです。
- gazavat-svc{ランダムな数字}
- gazavat-svc
暗号化されたマルウェアのコードは以下のとおりです。
注:この場合、XOR暗号化キーは0x5Dになります。キーはファイルによって異なります。
W32/Expiro.gen.nは以下の機密情報を収集する可能性があります。
- インストールされている証明書
- FileZillaによって格納された資格情報
- Windows Protected Storageによって格納された資格情報
- Internet Explorerによって以下のレジストリ項目に格納されたパスワード
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
以下の悪質でないファイルに盗み出した資格情報を記録します。
- %UserProfile%\Local Settings\Application Data\wsr{ランダムな2桁の数字}zt32.dll
また、Firefoxのエクステンションフォルダに以下のファイルを追加して、Firefoxのエクステンションをインストールします。
- {ec9032c7-c20a-464f-7b0e-13a3a9e97385}\components\red.js
- {ec9032c7-c20a-464f-7b0e-13a3a9e97385}\install.rdf
- {ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome\content.jar
- {ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome.manifest
乗っ取ったユーザを以下のドメインにリダイレクトする可能性があります。
- stopbadware.org
- gektar-promarenda.ru
- cashing.cc
- hdecub-ydyg.ry
- directconnection.ws
- mediaportal-2016.ru
- kamlashop-ultras.org
- theplan-from-iran.net
- erussia-govsvc.ru
- ijmash-gunszavod.ru
- egypt-bizneonet.biz
- hlop-v-job.ru
- pasha-mers50.ru
- entry-retails555.biz
実行時、リモートポート53を介して、以下のURLとIPアドレスに接続しようとします。
- 220.225. [削除].85
- zavrchcks[削除]z.ru
- pdecub-[削除].ru
- pgefa-[削除].com
- zerrbl[削除]gz.cc
- indirs-[削除].ws
- pkegy-[削除].com
- pmyjo-[削除].com
- ppykyb-[削除].ru
- insecto-[削除].ru
- psymi-[削除].com
- kgbr[削除]z.ru
- pvypeb-[削除].ru
- pvypeb-[削除].ru
- 64.70. [削除].33
- 202.54. [削除].60
- 202.54. [削除].5
以下はリモートポート137(NetBIOS)を介して接続しようとするURLとIPアドレスです。
- pgefa-[削除].com
- pkegy-[削除].com
以下はリモートポート80(HTTP)を介して接続しようとするURLとIPアドレスです。
- 64.70. [削除].33
- indirs-[削除].ws
- 109.236. [削除].70
- international-[削除].ru
- greatsouthoffshore.com
- angar-promarenda.ru
- kasperskygayformula.biz
- microavrc-usb33bit.com
- leninheadshop.ru
- fdecub-ydyg.ru
- fgefa-bugin.com
- fkegy-bikav.com
- indirs-vostok.ws
- fmyjo-boneb.com
実行時、以下の場所にファイルを作成します。
- %AllUsersProfile%\Application Data\acbdfbig25.nls
- %WINDIR%\system32\[感染ファイル名].vir
上記はW32/Expiro.gen.nによって作成されるファイルで、拡張子が.virの感染ファイルのコピーです。
以下のレジストリキーがシステムに追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\PersistentHandler
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CISVC
以下のレジストリキー値がシステムに追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.hta\PersistentHandler\: "{GUID}"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CISVC\0000\Control\
- *NewlyCreated*: 0x00000000
- ActiveService: "CiSvc"
- Service: "CiSvc"
- Legacy: 0x00000001
- ConfigFlags: 0x00000000
- Class: "LegacyDriver"
- ClassGUID: "{GUID}"
- DeviceDesc: "Indexing Service"
- NextInstance: 0x00000001
以下のレジストリキー値が改変されます。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent\: 0x00000012
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent\: 0x00000014
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc\Start: 0x00000003
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc\Start: 0x00000002
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv\Start: 0x00000004
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv\Start: 0x00000002
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv\Type: 0x00000010
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv\Type: 0x00000110
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\clr_optimization_v2.0.50727_32\Type: 0x00000010
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\clr_optimization_v2.0.50727_32\Type: 0x00000110
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmadmin\Type: 0x00000020
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmadmin\Type: 0x00000120
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmadmin\Start: 0x00000003
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmadmin\Start: 0x00000002
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\idsvc\Type: 0x00000020
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\idsvc\Type: 0x00000120
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\idsvc\Start: 0x00000003
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\idsvc\Start: 0x00000002
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ImapiService\Type: 0x00000010
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ImapiService\Type: 0x00000110
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ImapiService\Start: 0x00000003
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ImapiService\Start: 0x00000002
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnmsrvc\Start: 0x00000003
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mnmsrvc\Start: 0x00000002
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Type: 0x00000020
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Type: 0x00000120
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Start: 0x00000003
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Start: 0x00000002
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDE\Start: 0x00000004
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDE\Start: 0x00000002
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDE\Type: 0x00000020
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDE\Type: 0x00000120
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDSessMgr\Type: 0x00000010
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDSessMgr\Type: 0x00000110
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDSessMgr\Start: 0x00000003
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDSessMgr\Start: 0x00000002
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcapd\Type: 0x00000010
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcapd\Type: 0x00000110
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcapd\Start: 0x00000003
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcapd\Start: 0x00000002
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RSVP\Type: 0x00000010
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RSVP\Type: 0x00000110
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RSVP\Start: 0x00000003
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RSVP\Start: 0x00000002
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Type: 0x00000010
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Type: 0x00000110
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Start: 0x00000004
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Start: 0x00000002
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Start: 0x00000003
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Start: 0x00000002
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Type: 0x00000010
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Type: 0x00000110
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiApSrv\Type: 0x00000010
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiApSrv\Type: 0x00000110
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiApSrv\Start: 0x00000003
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiApSrv\Start: 0x00000002
上記のレジストリ項目により、W32/Expiro.gen.nがすべてのシステムサービスに感染し、システムが再起動するたびに自動的に起動するようにします。
以下は感染マシンから収集される情報で、リモートポート(http)を介してリモート攻撃者に送信されます。
- GetLocaleInfoA
- GetSystemInfo
- gethostbyname
- GetUserNameA
- GetComputerNameA
- GetVolumeInformationA
