McAfee for Small Businesses

ウイルス名 危険度 W32/Autorun.worm!ip 企業ユーザ: 低 個人ユーザ: 低 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) 5910 対応定義ファイル (現在必要とされるバージョン) 5922　（現在7084) 対応エンジン 5.3.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Ikarus - VirTool.Win32.DelfInject Kaspersky - Trojan.Win32.AutoRun.j Nod32 - Win32/AutoRun.KS 情報掲載日 2010/03/17 発見日（米国日付） 2010/03/04 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・W32/Autorun.worm!ipが実行されると、explorer.exeにコードを挿入し、リモートポート3211を介してリモートIRCサーバ「wedding2.[削除].cz」に接続します。 ・生成され、ポート3211で送信されるIRCトラフィックは以下のとおりです。 ・ユーザのシステムの乗っ取り後、リモートサーバから以下の場所にファイルをダウンロードします。 %UserProfile%\x4t4c57w3.exe [W32/IRCbotという名前で検出] ・ダウンロードされたファイルはダイヤラーで、攻撃者が使用する長距離電話番号のリストにアクセスします。 ・「w32/IRCbot」は以下のGETリクエストを使用し、HTTPポート80を介して電話番号にアクセスします。 http://193.[削除].49/Dialer_Min/number.asp ・実行時、以下の場所に自身をコピーします。 %SystemDrive%\RELEASE\DEBUG\ghx.exe ・以下のレジストリキーがシステムに追加されます。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67XOR2B0-3GMC-89VV-JIJ1-32KL5R3423144}] ・以下のレジストリ値がシステムに追加されます。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67XOR2B0-3GMC-89VV-JIJ1-32KL5R3423144}\] “StubPath: “= "%SystemDrive%RELEASE\DEBUG\ghx.exe" ・上記のレジストリ項目により、Windowsが起動するたびにW32/Autorun.worm!ipが実行されるようにします。 ・以下のフォルダがシステムに追加されます。 %SystemDrive%\RELEASE %SystemDrive %\RELEASE\DEBUG 注：%SystemDrive%はオペレーティングシステムがインストールされているドライブで、ほとんどの場合はC:\、%UserProfile%はC:\Documents and Settings\[ユーザ名]になります。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記のファイルおよびレジストリキーが存在します。 上記のサイトへの予期しないネットワーク接続が存在します。 感染方法 TOPへ戻る ・W32/Autorun.worm!ipはシステムに接続されているリムーバブルメディアに自身をコピーして拡散し、「autorun.inf」ファイルを作成して、デバイスが接続された別のシステムで自身を実行します。 駆除方法 TOPへ戻る ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足