McAfee for Small Businesses

ウイルス名 危険度 W32/Sality.gen.c 企業ユーザ: 低 個人ユーザ: 低 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) 5583 対応定義ファイル (現在必要とされるバージョン) 5848　（現在7083) 対応エンジン 5.2.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Ikarus : Virus.W32.Sality Kaspersky : Virus.Win32.Sality.ae NOD32 : Win32/Sality.NAY Norman : W32/Sality.AR 情報掲載日 2010/01/29 発見日（米国日付） 2009/04/13 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/21 RDN/Generic ... 05/21 RDN/Generic ... 05/21 RDN/Generic.... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7083  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・W32/Sality.gen.cはWin32 PE実行ファイルに感染する寄生型ウイルスです。 ・実行時、ランダムなUDPポート（8439など）で受信待機を行うサービスを起動し、以下のパスにファイルをドロップ（作成）します。 %Temp%\00126336_Rar\Hand.exe%\00126336_Rar\Hand.exe ・リモートサイトから以下のパスにファイルがダウンロードされます。 %Temp%\ yogw.exe %Temp%\ winpfegua.exe ・実行時、以下のシステムの変更が行われます。 ・以下のキーが削除されます。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\ALG\Security HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\SmcService HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SmcService\Security HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\SmcService\Enum ・以下のキーが追加されます。 HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Security Center\Svc HKEY_CURRENT_USER\S-1-5-21-1004336348-1326574676-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Policies\system HKEY_CURRENT_USER \S-1-5-21-1004336348-1326574676-839522115-1003\Software\Awldea HKEY_CURRENT_USER \S-1-5-21-1004336348-1326574676-839522115-1003\Software\Awldea\-367942204 ・以下の値が削除されます。 [HKEY_LOCAL_MACHINE \SOFTWARE\Classes\Software\Sygate\UsingNetport] “wg3n” = “ 0x00000001” [HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\SmcService] “Type” = 0x00000110 “Start” = 0x00000002 “ErrorControl” = 0x00000001 “ImagePath” = "%ProgramFiles% Sygate\SPF\smc.exe" “DisplayName” = "Sygate Personal Firewall" ・以下の値が追加されます。 以下のレジストリ項目を使って、Windowsセキュリティセンターからのファイアウォール、ウイルス対策、自動更新の状態の通知を無効にします。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] “AntiVirusOverride” = 0x00000001 “AntiVirusDisableNotify” = 0x00000001 “FirewallDisableNotify = 0x00000001 “FirewallOverride” = 0x00000001 “UpdatesDisableNotify” = 0x00000001 “UacDisableNotify” = 0x00000001 ・以下のレジストリ項目のとおり、「管理者承認モードでの管理者」というユーザタイプを無効にします。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] “UacDisableNotify” = 0x00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] “EnableLUA” = 0x00000000 ・以下のとおり、タスクマネージャとWindowsレジストリエディタを無効にします。 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system] “DisableTaskMgr” = 0x00000001 “DisableRegistryTools” = 0x00000001 ・ウイルスコードを挿入し、PEイメージの最後のセクションに自身を付加することにより、以下のファイルを改変します。 %Windir%\system.ini %SystemDir% cmd.exe %SystemDir% mmc.exe %SystemDir% taskmgr.exe %ProgramFiles%\WinRAR\WinRAR.exe %ProgramFiles%\Adobe\Reader 9.0\Reader\reader_sl.exe %ProgramFiles%\Sygate\SPF ・以下のフォルダが追加されます。 %Temp%\00126336_Rar 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記のファイルが存在します。 上記のレジストリキーが存在します。 以下のドメインに接続してファイルをダウンロードします。 server.bahia[削除]center.biz epri[削除]l.com [削除]kalingaindore.com 感染方法 TOPへ戻る ・W32/Sality.gen.cはローカルドライブ、リムーバブル、ネットワーク共有に感染するWindows PE実行ファイルがないか検索します。感染したファイルのオリジナルのエントリポイントを自身のウイルスコードに置き換え、PEイメージの最後のセクションに自身を付加します。 %WindDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp\ (Windows NT/2000/XP). %SystemDir% = \WINDOWS\SY STEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000) %ProgramFiles% - C:\Program Files. 駆除方法 TOPへ戻る ■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。 Windows ME/XPでの駆除についての補足