ウイルス情報

ウイルス名 危険度

W32/Sality.gen.c

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
5583
対応定義ファイル
(現在必要とされるバージョン)
5848 (現在7656)
対応エンジン 5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Ikarus : Virus.W32.Sality Kaspersky : Virus.Win32.Sality.ae NOD32 : Win32/Sality.NAY Norman : W32/Sality.AR
情報掲載日 2010/01/29
発見日(米国日付) 2009/04/13
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W32/Sality.gen.cはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

ファイル情報:
  • MD5 : D9A15BFCB7EBE40381440781E58A1734
  • SHA1 : 9FAF1FEA558344E3309EED1F61A8B64251C5CC56
  • サイズ : 1,160,963バイト

TOPへ戻る

ウイルスの特徴

・W32/Sality.gen.cはWin32 PE実行ファイルに感染する寄生型ウイルスです。

・実行時、ランダムなUDPポート(8439など)で受信待機を行うサービスを起動し、以下のパスにファイルをドロップ(作成)します。

  • %Temp%\00126336_Rar\Hand.exe%\00126336_Rar\Hand.exe

・リモートサイトから以下のパスにファイルがダウンロードされます。

  • %Temp%\ yogw.exe
  • %Temp%\ winpfegua.exe

・実行時、以下のシステムの変更が行われます。

・以下のキーが削除されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG
  • HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\ALG\Security
  • HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\SmcService
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SmcService\Security
  • HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\SmcService\Enum

・以下のキーが追加されます。

  • HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Security Center\Svc
  • HKEY_CURRENT_USER\S-1-5-21-1004336348-1326574676-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Policies\system
  • HKEY_CURRENT_USER \S-1-5-21-1004336348-1326574676-839522115-1003\Software\Awldea
  • HKEY_CURRENT_USER \S-1-5-21-1004336348-1326574676-839522115-1003\Software\Awldea\-367942204

・以下の値が削除されます。

  • [HKEY_LOCAL_MACHINE \SOFTWARE\Classes\Software\Sygate\UsingNetport]
    “wg3n” = “ 0x00000001”
  • [HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\SmcService]
    “Type” = 0x00000110
    “Start” = 0x00000002
    “ErrorControl” = 0x00000001
    “ImagePath” = "%ProgramFiles% Sygate\SPF\smc.exe"
    “DisplayName” = "Sygate Personal Firewall"

・以下の値が追加されます。

以下のレジストリ項目を使って、Windowsセキュリティセンターからのファイアウォール、ウイルス対策、自動更新の状態の通知を無効にします。
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
    “AntiVirusOverride” = 0x00000001
    “AntiVirusDisableNotify” = 0x00000001
    “FirewallDisableNotify = 0x00000001
    “FirewallOverride” = 0x00000001
    “UpdatesDisableNotify” = 0x00000001
    “UacDisableNotify” = 0x00000001

・以下のレジストリ項目のとおり、「管理者承認モードでの管理者」というユーザタイプを無効にします。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    “UacDisableNotify” = 0x00000001
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] “EnableLUA” = 0x00000000

・以下のとおり、タスクマネージャとWindowsレジストリエディタを無効にします。

  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system]
    “DisableTaskMgr” = 0x00000001
    “DisableRegistryTools” = 0x00000001

・ウイルスコードを挿入し、PEイメージの最後のセクションに自身を付加することにより、以下のファイルを改変します。

  • %Windir%\system.ini
  • %SystemDir% cmd.exe
  • %SystemDir% mmc.exe
  • %SystemDir% taskmgr.exe
  • %ProgramFiles%\WinRAR\WinRAR.exe
  • %ProgramFiles%\Adobe\Reader 9.0\Reader\reader_sl.exe
  • %ProgramFiles%\Sygate\SPF

・以下のフォルダが追加されます。

  • %Temp%\00126336_Rar

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

上記のファイルが存在します。 上記のレジストリキーが存在します。 以下のドメインに接続してファイルをダウンロードします。
  • server.bahia[削除]center.biz
  • epri[削除]l.com
  • [削除]kalingaindore.com

TOPへ戻る

感染方法

・W32/Sality.gen.cはローカルドライブ、リムーバブル、ネットワーク共有に感染するWindows PE実行ファイルがないか検索します。感染したファイルのオリジナルのエントリポイントを自身のウイルスコードに置き換え、PEイメージの最後のセクションに自身を付加します。

%WindDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)
%Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp\ (Windows NT/2000/XP).
%SystemDir% = \WINDOWS\SY STEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000)
%ProgramFiles% - C:\Program Files.

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る