環境:
McAfee Signed ExtraDAT
Multiple McAfee products
脅威名称:
W32/Autorun.worm.aaea
W32/Autorun.worm.aaeb
W32/Autorun.worm.aaec
W32/Autorun.worm.aaed
W32/Autorun.worm.aaee
W32/Autorun.worm.aaef
W32/Autorun.worm.aaeg
W32/Autorun.worm.aaeh
W32/Autorun.worm.aaei
W32/Autorun.worm.aaek
W32/Autorun.worm.aael
W32/Autorun.worm.aaem
VBObfus.ey
VBObfus.ez
VBObfus.fa
概要:
この記事には最新バージョンのEXTRA.DATについてのダウンロード情報が含まれています。
下記のFTPサイトより入手できます:
ftp://custftp2.nai.com/outgoing/Support/extra.zip
重要: このExtra.dat(W32/Autorun.worm.aaeh) につきましては、まず最初にお客様環境下のいくつかのマシンでテストを
十分に実施し、動作に問題がないことを確認されてからの展開をお願いします。
| ファイル名 |
内容 |
詳細 |
注意 |
| EXTRA.zip |
EXTRA.DAT |
ExtraDAT (SED) for W32/Autorun.worm.aae* |
VirusScan Enterprise 8.8 へのEXTRA.DAT ファイル手動適用方法: VE11083001
SaaS Endpoint Protection 5.0 へのEXTRA.DAT ファイル手動適用方法: TP510010809
ePolicy Orchestrator 4.5 /4.6 からEXTRA.DATを配布する方法: EP11042501 |
*このZIPファイルにはパスワード (infected) がついています。
脅威情報:
W32/Autorun.worm.aae*は、ネットワークシェアのマウントと同様にリムーバブル・メディアデバイスへ感染する能力を持っています。感染ファイルの手動実行、または感染ファイルが含まれているフォルダへナビゲートすることでAutorun.infファイルの自動実行で感染します。またZIPとRARのアーカイブファイルへコピーを加えられます。
さらにCommand-and-Control (C&C) サーバーからの命令によって、自身または他のマルウェアの最新版へアップデートされます。
本マルウェアの詳細な情報については、Threat Advisory PD24169または下記のURLを参照ください。
http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=1607456)
重要:
- ExtraDATファイルをクライアントへ展開される前にカスタムアクセスプロテクション (AP) ルール規則をローカルでテストする必要があります。詳細については、KB76425(英語)を参照してください。
推奨手順
ファイル/フォルダアクセスプロテクションルールを作成することで、Autorun.inf の実行がブロックされます:
| ファイル/フォルダアクセスプロテクションルール(ユーザ定義ルール) |
| フィールド |
設定内容 |
| ルール名 |
Block Autorun.inf |
| 組み入れるプロセス |
* |
| 除外するプロセス |
Stinger.exe, scan*.exe, mcshield.exe |
| ブロックするファイルもしくはフォルダ |
autorun.inf |
| 禁止されたファイルアクション |
下記項目を有効:
- ファイルに対する読み取りアクセス
- ファイルに対する書き込みアクセス
- 実行中のファイル
- 新規ファイルの作成
|
ファイル/フォルダアクセスプロテクションルールを作成することで、rar.exe の実行がブロックされます:
| ファイル/フォルダアクセスプロテクションルール(ユーザ定義ルール) |
| フィールド |
設定内容 |
| ルール名 |
Block rar.exe |
| 組み入れるプロセス |
* |
| 除外するプロセス |
Stinger.exe, scan*.exe, mcshield.exe |
| ブロックするファイルもしくはフォルダ |
rar.exe |
| 禁止されたファイルアクション |
下記項目を有効:
|
ファイル/フォルダアクセスプロテクションルールを作成することによって、下記名称の新しい exe ファイルの作成がブロックされます:
- Secret.exe
- Passwords.exe
- Porn.exe
- Sexy.exe
- X.mpeg
注意: 各ファイルにつき1つのルールを作成する必要があります。
| ファイル/フォルダアクセスプロテクションルール(ユーザ定義ルール) |
| フィールド |
設定内容 |
| ルール名 |
Block secret.exe |
| 組み入れるプロセス |
* |
| 除外するプロセス |
空白 |
| ブロックするファイルもしくはフォルダ |
Secret.exe |
| 禁止されたファイルアクション |
下記項目を有効:
|
ポートアクセスプロテクションルールポートを作成することで、Port:9004がブロックされます:
| ポートのブロックルール(ユーザ定義ルール) |
フィールド |
設定内容 |
ルール名 |
Block Port 9004 |
組み入れるプロセス |
* |
除外するプロセス |
空白 |
ブロックするポート: 開始ポート |
9004 |
ブロックするポート: 終了ポート |
9004 |
方向 |
下記項目を有効:
- 受信 - ネットワークを介したローカルポートへのアクセスを拒否します
- 送信 - ローカルプロセスからネットワーク上の他のコンピュータのポートへのアクセスを拒否します
|
| |
|
レジストリアクセスプロテクションルールを作成することで、ウィンドウズアップデートレジストリキーが保護されます
| レジストリのブロックルール(ユーザ定義ルール) |
| フィールド |
設定内容 |
| ルール名 |
Protect noautoupdate |
| 組み入れるプロセス |
* |
| 除外するプロセス |
空白 |
| 保護するレジストリのキーまたは値 |
選択するキー: HKLM
下記内容を設定:
- \Software\policies\Microsoft\Windows\WindowsUpdate\AutoUpdate
|
| 保護するレジストリのキーまたは値 |
Key |
| ブロックするレジストリのアクション数 |
下記項目を有効:
|
レジストリアクセスプロテクションルールを作成することで、エキスプローラーアドバンストレジストリキーが保護されます:
| レジストリのブロックルール(ユーザ定義ルール) |
| フィールド |
設定内容 |
| ルール名 |
protect superhidden |
| 組み入れるプロセス |
* |
| 除外するプロセス |
空白 |
| 保護するレジストリのキーまたは値 |
選択するキー: HKCU
下記内容を設定:
- \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
|
| 保護するレジストリのキーまたは値 |
Key |
| ブロックするレジストリのアクション数 |
下記項目を有効:
|
重要: 下記のルールを有効にする場合、お客様環境下で十分テストを実施し、動作に問題がないことを確認されてからの展開を推奨します。
| ファイル/フォルダアクセスプロテクションルール(ユーザ定義ルール) |
| フィールド |
設定内容 |
| ルール名 |
Block new exe in user account (aggressive - Windows 7) |
| 組み入れるプロセス |
* |
| 除外するプロセス |
Stinger.exe, scan*.exe, mcshield.exe |
| ブロックするファイルもしくはフォルダ |
C:\Users\*\*.exe |
| 禁止されたファイルアクション |
下記項目を有効:
新規ファイルの作成 |
| ファイル/フォルダアクセスプロテクションルール(ユーザ定義ルール) |
| フィールド |
設定内容 |
| ルール名 |
Block new exe in user profile (aggressive - Windows XP) |
| 組み入れるプロセス |
* |
| 除外するプロセス |
空白 |
| ブロックするファイルもしくはフォルダ |
C:\Documents and Settings\*\*.exe |
| 禁止されたファイルアクション |
下記項目を有効:
新規ファイルの作成 |
掲載日 2012/12/17
