ウイルス情報

ウイルス名 危険度

W32/Autorun.worm.g

企業ユーザ: 中
個人ユーザ: 中
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
5067
対応定義ファイル
(現在必要とされるバージョン)
6346 (現在7628)
対応エンジン 5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Avg - Generic3_c.CHKY NOD32 - Win32/Packed.Autoit.E.Gen Symantec - Bloodhound.Malautoit Microsoft - VirTool:Win32/VBInject.DW Kaspersky - Worm.Win32.AutoRun.avxk Microsoft - Trojan:Win32/Otran NOD32 - probably a variant of Win32/AutoRun.Delf.AC Norman - W32/Atraps.UXJ DrWeb - DLOADER.IRC.Trojan Kaspersky - Trojan.Win32.Scar.clvh Microsoft - Worm:Win32/Silly_P2P.H TrendMicro - TROJ_GEN.USEHJ21 Kaspersky - Worm.BAT.Autorun.es NOD32 - BAT/Autorun.AQ Norman - W32/Obfuscated.H2!genr TrendMicro - WORM_SILLY.QLW BitDefender - Trojan.Downloader.Agent.ABDP Kaspersky - Worm.Win32.AutoRun.gvy NOD32 - a variant of Win32/AutoRun.Agent.UI TrendMicro - WORM_AUTORUN.SMV
情報掲載日 2010/11/04
発見日(米国日付) 2007/07/03
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

--2010年3月3日更新---

ファイル情報

  • MD5 - 351D312E70C19371B9116CA67737DCB1
  • SHA - D90115C869E2AF893756EE150EAE78A617E519FE

--2010年11月18日更新---

ファイル情報

  • MD5 - 6651d628b1c0315b03ab8896395d1335
  • SHA1 - 9500707592fd6b49c83864dda7b8d7ac51ccbb0d

-- 2010年11月4日更新 --

ファイル情報

  • MD5 - 9db833fc8dfbc9193cb6062a74111834
  • SHA1 - 6f77b0137f6749cc0b53d8cce88c1bbe66826122

-- 2010年7月22日更新 --

ファイル情報

  • MD5 - E3272BBC39A7C6188D4587A0581E460E
  • SHA - 956A9E52797E54847FE2AEC10A0D15B384876275

ファイル情報

  • MD5 - 3464715ED021A7DA6D071D6C611A2385
  • SHA1 - AC33021EBBB2142FDABFBEBB907EAFC065BC63DD

-- 2010年3月18日更新 --

ファイル情報

  • MD5 - E3272BBC39A7C6188D4587A0581E460E
  • SHA - 956A9E52797E54847FE2AEC10A0D15B384876275

-- 2010年3月18日更新 --

・W32/Autorun.worm.gはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

-- 2007年7月3日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://www.theregister.co.uk/2007/07/02/harry_potter_worm/

・W32/Autorun.worm.gは、まもなく発売されるハリー・ポッターシリーズの最新作の詳細を提供するとしていますが、実際にはシステムを大幅に改変して使用不可にするワームです。また、リムーバブルドライブに自身をコピーし、自動実行に設定されると、リムーバブルドライブが接続されたシステムに感染します。

TOPへ戻る

ウイルスの特徴

--2010年3月3日更新---

・実行時、以下の場所に自身をコピーします。

  • %Windir%\spynet\server.exe
  • :[リムーバブルドライブ]:\RECYCLER\S-1-(不定)\server.exe

・また、すべてのリムーバブルドライブ、マップされたドライブのルートにautorun.infファイルをドロップ(作成)し、ドライブアクセス時に実行ファイルが自動的に実行されるようにします。

・「AutoRun.inf」ファイルはW32/Autorun.worm.gの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、W32/Autorun.worm.gが自動的に起動されます。

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\5YI432UN-26HC-0185-000P-O5VX252O3DYU}
  • HKEY_CURRENT_USER\S-1-(不定)\Software\vitima

・以下のレジストリ値が追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\5YI432UN-26HC-0185-000P-O5VX252O3DYU}\]
    “StubPath” = "%Windir%\spynet\server.exe"

・上記のレジストリにより、W32/Autorun.worm.gが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    “HKLM” = "%Windir%\spynet\server.exe"
  • HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
    “HKCU” = "%Windir%\spynet\server.exe"

・上記のレジストリにより、W32/Autorun.worm.gがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。

・以下のレジストリ値が改変されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\]
    Policies” = "%Windir%\spynet\server.exe"
  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\]
    “Policies” = "%Windir%\spynet\server.exe"

・上記のレジストリにより、W32/Autorun.worm.gがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。

--2010年11月18日更新---

・実行時、以下の場所に自身をコピーします。

  • %Systemdrive%\NoAutorun.exe

・また、以下のファイルをドロップ(作成)します。

  • %Systemdrive%\autorun.inf
  • %Systemdrive%\NoAutorun.ver

・また、すべてのリムーバブルドライブ、マップされたドライブのルートにautorun.infファイルをドロップ(作成)し、ドライブアクセス時に実行ファイルが自動的に実行されるようにします。

・「AutoRun.inf」ファイルはW32/Autorun.worm.gの実行ファイルを指しており、自動実行機能をサポートするマシンからリムーバブルドライブやネットワーク接続されたドライブがアクセスされると、W32/Autorun.worm.gが自動的に起動します。

・autorun.infは以下のコマンド構文で、W32/Autorun.worm.のファイルが起動するように設定されています。

  • [Autorun]
  • Open=NoAutorun.exe
  • Shellexecute=NoAutorun.exe
  • Shell\Open\command=NoAutorun.exe
  • Shell=Open

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveAutoRun
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf

・以下のレジストリ値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    "zzzNoAutoRun" = "%Systemdrive%\NoAutorun.exe"

・上記のレジストリキーにより、Windowsが起動するたびにW32/Autorun.worm.gが実行されるようにします。

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\]
    “NoFolderOptions” = “ 0x00000001”
  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\]
    “NoRun” = “ 0x00000001”

・上記の値をレジストリキーに追加して、フォルダオプション、コマンドの実行を無効にします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer
    Data: NoDriveAutoRun = 0x00000000
    Data: NoDriveTypeAutoRun = 0x00000000

・以下のレジストリ値が改変されます。

  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
    Hidden = 0x00000002

-- 2010年11月4日更新 -----

・「W32/Autorun.worm.g」はアクセス可能なディスクボリュームのルートに自身をコピーするワームです。

・さらに、ボリュームのルートにAutorun.infファイルを作成し、次にボリュームがマウントされたときに実行されるようにします。

・実行時、以下の場所に自身をコピーし、「eagle[削除].com」に接続して悪質なファイルをダウンロードします。

  • %AppData%svchosts.exe

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

・以下のレジストリ値が追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
    Microsoft Corp = “%AppData%\svchosts.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    Microsoft Corp = "%AppData%\svchosts.exe"
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\
    Microsoft Corp = "%AppData%\svchosts.exe"

・上記のレジストリ項目により、Windowsが起動するたびにW32/Autorun.worm.gが実行されるようにします。

・以下のランダムなポート番号からリモートマシンに接続します。

4723

1065

1066

1067

1068

・システムのリムーバブルドライブが自動実行に設定されている場合、W32/Autorun.worm.gを自動的に実行するautorun.infファイルを作成して、リムーバブルドライブに拡散しようとします。

[aUtoRUN]

shelLexEcute=SYSTEM.EXE

iCoN=%wiNdiR%\sySTeM32\sHELl32.dLl,4

ShEll\OpEn\ComMaNd=SYSTEM.EXE

shell\explore\command=SYSTEM.EXE

uSeAuTopLAy=1

ShElL%seXpLorE%sCoMmAnD=SYSTEM.EXE

・以下の情報を使って、リモートIRCサーバとの通信を試みます。

NICK

JOIN

PART

QUIT

PASS

PING

PONG

USER

[注: %AppData% - C:\Documents and Settings\[ユーザ名]\Application Data]


-- 2010年7月22日更新 --

・「W32/Autorun.worm.g」は、リムーバブルドライブを接続したシステムが自動実行に設定されている場合、W32/Autorun.worm.gを自動的に実行するautorun.infファイルを作成して、リムーバブルドライブに拡散します。

・アイコンとしてWindowsの「フォルダアイコン」を使用します。これは、ユーザをだましてファイルを開かせ、実行させるためです。

・実行時、以下の場所に自身をコピーします。

  • %AppData%\wmimgmt.exe
  • [リムーバブルドライブ]:\ RECYCLER\wmimgmt.exe(隠しファイル)
  • %Temp%\temp.vih [データファイル]

・また、以下のファイルをドロップ(作成)します。

  • [リムーバブルドライブ]:\RECYCLER\desktop.ini (隠しファイル)
  • [リムーバブルドライブ]:\ AuToRUn.iNf

・以下のフォルダが追加されます。

  • [リムーバブルドライブ]:\ RECYCLER

・上記の「RECYCLER」フォルダはW32/Autorun.worm.gによって作成される隠しフォルダです。

・以下のレジストリ値が追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\NeverShowExt: ""

・上記のレジストリ項目により、ファイル拡張子を非表示にします。

  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    wmi32 = %AppData%\wmimgmt.exe

・上記のレジストリ項目により、Windowsが起動されるたびに「wmimgmt.exe」が実行されるようにします。

・以下のレジストリ値が改変されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\]
    UncheckedValue="0x00000000"

・上記のレジストリ項目を改変し、隠しファイルとフォルダが見えないようにします。

・W32/Autorun.worm.gはIRCチャネル、サーバに接続して、指示を待機します。リモート攻撃者は、W32/Autorun.worm.gを使って、さまざまなタスクを実行できます。

システム情報の収集(OSのバージョン、ユーザ名、コンピュータ名、IPアドレス) IRCコマンドの実行(チャネルへの参加)

・以下のMS-DOSコマンドを使って、システム情報を収集します。

  • SYSTEMINFO.EXE
  • FINDSTR.EXE
  • ARP.EXE
  • CONVERT.EXE
  • FINDSTR.EXE
  • IPCONFIG.EXE
  • ROUTE.EXE
[%AppData% - C:\Documents and Settings\[ユーザ名]\Application Data, %RemovableDrive% = システムに挿入されたリムーバブルドライブ

%Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp]


-- 2010年3月18日更新 --

・実行時、以下の場所に自身をコピーします。

  • %SystemDrive%\Documents and Settings.exe [W32/Autorun.worm.gという名前で検出]
  • %SystemDrive%\Program Files.exe [W32/Autorun.worm.gという名前で検出]
  • %SystemDrive%\System Volume Information.exe [W32/Autorun.worm.gという名前で検出]
  • %SystemDrive%\Tools.exe [W32/Autorun.worm.gという名前で検出]
  • %SystemDrive%\WINDOWS.exe [W32/Autorun.worm.gという名前で検出]
  • %WinDir%\system32\ScreenSave.scr [W32/Autorun.worm.gという名前で検出]
  • %WinDir%\system32\Drivers\USBInfo.com [W32/Autorun.worm.gという名前で検出]

・また、以下のファイルをドロップ(作成)します。

  • %SystemDrive%\autorun.inf

・以下のレジストリキーがシステムに追加されます。

  • HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows Script Host

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\]
    “NoFolderOptions” = “ 0x00000001”
  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\System\]
    “DisableTaskmgr” = “ 0x00000001”
  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\]
    “NoRun” = “ 0x00000001”

・上記の値をレジストリキーに追加して、フォルダオプション、タスクマネージャ、コマンドの実行を無効にします。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]:
    “@” = "%WinDir%\system32\Drivers\USBInfo.com"

・上記のレジストリにより、W32/Autorun.worm.gが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

・以下のレジストリ値が改変されます。

  • [HKEY_CURRENT_USER\S-1-(不定)\Control Panel\Desktop\]
    “SCRNSAVE.EXE” = "%WinDir%\system32\ScreenSave.scr"

・上記のレジストリ項目により、スクリーンセーバーが起動するたびにW32/Autorun.worm.gが実行されるようにします。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\]
    “CheckedValue” = “0x00000000”
  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
    “Hidden” = “0x00000000”

・上記のレジストリ項目により、乗っ取ったユーザがシステムの隠しファイル、フォルダを閲覧できないようにします。

  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
    "HideFileExt" = " 0x00000001"

・上記のレジストリ項目により、システムのファイルの拡張子が表示されないようにします。

[%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]


-- 2007年7月3日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://www.theregister.co.uk/2007/07/02/harry_potter_worm/

・W32/Autorun.worm.gは、リムーバブルドライブを接続したシステムが自動実行に設定されている場合、W32/Autorun.worm.gを自動的に実行するAutorun.infファイルを作成して、リムーバブルドライブに拡散するワームです。

・実行されると、以下のエラーメッセージが表示されます。

・マシンにリムーバブルドライブが存在しない場合、以下のエラーメッセージが繰り返し表示されます。

・最後のエラーメッセージが終了すると、システムが自動的に再起動します。システムが再起動すると、バッチファイルが実行され、以下のテキストが表示されます。

・以下のファイルを作成します。

  • c:\autorun.inf (171バイト)
  • c:\harry potter.txt (379バイト)
  • c:\HarryPotter-TheDeathlyHallows.doc (23バイト)
  • c:\WINDOWS\Tasks\At1.job (386バイト)
  • c:\WINDOWS\Tempt\talk.bat (200バイト)

・また、以下のレジストリ項目を作成し、Windowsファイアウォールを無効にします。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess \Parameters\FirewallPolicy
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess \Parameters\FirewallPolicy\StandardProfile

・以下のレジストリ項目を改変し、さまざまなシステム機能へのアクセスを無効にします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer "HideClock" = 1
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer "NoFind" = 1
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer "NoFolderOptions" = 1
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer "NoRun" = 1
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer "NoShellSearchButton" = 1
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer "NoTrayContextMenu" = 1
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer "NoTrayItemsDisplay" = 1
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer "NoViewContextMenu" = 1
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \System "DisableRegistryTools" = 1
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \System "DisableTaskMgr" = 1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies \Explorer "NoViewContextMenu" = 1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies \system "DisableTaskMgr" = 1

・これらの改変により、感染システムのさまざまな機能がアクセス不能になります(たとえば、レジストリエディタ、タスクマネージャなどの診断ツールが使用できなくなり、時計、システムトレイが表示されなくなります)。また、スタートメニューからは実行できるものの、Explorerからファイルを実行できなくなります。

・Internet ExplorerのホームページがAmazon.comのハリー・ポッターシリーズのパロディー本のページに改変されます。

・ProductIDとRegisteredOwnerが以下のように変更されます。

  • ProductID = HARRY-POT-TERHATE-SYOU1
  • RegisteredOwner = Harry Potter

・また、以下のユーザプロフィールを作成します。

  • Harry-Potter
  • Hermione-Granger
  • Ron-Weasely

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルおよびレジストリキーが存在します。
  • 上記の活動が見られます。
  • 上記のエラーメッセージが表示されます。
  • 感染したシステムでハリー・ポッター関連の大幅な改変が行われます。
  • 上記のユーザプロフィールが予期せず表示されます。

TOPへ戻る

感染方法

・ウイルスは自己複製します。多くの場合、ネットワーク、またはリムーバブルディスク、書き込み可能なCD、USBドライブなどのリムーバブルメディアへの送信によって拡散されます。また、ネットワークファイルシステム、他のコンピュータと共有されているファイルシステムのファイルに感染して、拡散する可能性があります。

TOPへ戻る

駆除方法

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。(Windows ME/XPのみ)
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。

TOPへ戻る