ウイルス情報

ウイルス名 危険度

New Autorun!inf.g

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6387
対応定義ファイル
(現在必要とされるバージョン)
6468 (現在7652)
対応エンジン 5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名 F-Secure - Trojan.AutorunINF.Gen
Microsoft - VirTool:INF/Autorun.gen
NOD32 - INF/Autorun.gen
Sophos - Mal/AutoInf-A Kaspersky - Trojan-GameThief.Win32.OnLineGames.sqnn Comodo - TrojWare.Win32.GameThief.OnLineGames.sqnn Microsoft - Worm:Win32/Autorun.gen!inf
情報掲載日 2014/01/15
発見日(米国日付) 2011/06/24
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・New Autorun!inf.gは多くのワームおよびウイルスが使用する構成テキストファイル(autorun.inf)です。通常、このファイルはすべてのリムーバブルドライブ、マップされたドライブのルートにドロップ(作成)され、ドライブアクセス時に実行ファイルが自動的に実行されるようにします。

TOPへ戻る

ウイルスの特徴

---2014年1月10日更新---

・「Generic autorun!inf.g」は多くのワームが使用する構成テキストファイル(autorun.inf)です。

通常、このファイルはすべてのリムーバブルドライブ、マップされたドライブのルートにドロップ(作成)され、ドライブアクセス時に実行ファイルが自動的に実行されるようにします。

・このファイルのサイズは不定です。サイズは.infファイル内で参照されるファイル名の長さによって異なります。

・このファイルの一部のコピーでは、Windowsエクスプローラの一部のデフォルトの表示オプションでファイルが表示されないよう、システム(S)、隠し(H)属性が設定されています。

autorun.infは以下のコマンド構文でトロイの木馬のファイルを起動するように設定されています。

;iJLfKdJDlirqld4k15rkSfKk2aLi04q2Aopi3siKs9wJdw2liip30jda

[AutoRun]

;oqCiD0Lj7SiK91wD420ckqaeADd7lLJKLKKqka2aod0oDjsowlqwfpi12qkddL3l83wil3irjZaw4Dkp3s0aweloi03Da39Ir5LA4Aa20o5Aiawojf4422fkd

open=t2yev.exe

;3ep0r54422l2l2odJlSdcC69ndaLaal23Zdlr1eeis3LsSisSjL

shell\open\Command=t2yev.exe

;awDl48sarjs32ofa4f014k9KDkJk3k

shell\open\Default=1

;rak25734wrwomqewDlpaaa2sAja4i23JD7fs4ed3Kal2akiIiX13r1f2s89fL3kslf41qwklwa4dAllk4ije3kScJosUoioL5JliDjkas9la3fk504

shell\explore\Command=t2yev.exe

;5J3s4djo22olaco823aKwUDd42kkqa52J1efA

実行時、autorun.infファイルが以下の場所からソースファイルを起動しようとします。

  • :[ [リムーバブルドライブ:]\autorun.inf
  • :[リムーバブルドライブ:]\t2yev.exe[PWS-Gamania.gen.aという名前で検出]

・上記のファイルは、乗っ取ったマシンから機密情報およびゲームアカウントの情報を盗み出すため、自身をリムーバブルドライブおよび接続されたシステムドライブのルートにコピーすることにより拡散するワームです。また、システムで動作中のプロセスに自身を挿入して、自身がユーザに見えないようにします。


・「Generic autorun!inf.g」は、ワームがローカル、ネットワークまたはリムーバブルドライブに拡散する際に使用する可能性がある「autorun.inf」ファイルです。自身をドライブにコピーする際、オペレーティングシステムの実行命令を含む「autorun.inf」という名前のファイルを作成できます。・Windowsエクスプローラを使用してドライブを閲覧すると、「autorun.inf」が動作し、ワームのコピーが実行されます。

autorun.infは以下のコマンド構文でトロイの木馬のファイルを起動するように設定されています。

  • [AutoRun]
  • ;PIxkfUGeIx kavwd yUxelOces
  • ;jeuo ctgTdJ
  • SHelL\open\DeFaulT=1
  • ;qfWJwyDjys kLoXETMIGepibXyADaHUSm qtNev mOBxg
  • open =syvgs.pif
  • ShelL\expLore\ComMaNd = syvgs.pif
  • sheLL\oPen\cOMMAnd =syvgs.pif
  • sheLL\auToPLAy\commaNd =syvgs.pif
  • ;RJdmtXEnfS JAmmiDvUsxkho

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・すべてのリムーバブルドライブ、マップされたネットワークドライブのルートに、「ウイルスの特徴」に書かれている情報が格納されたautorun.infファイルが存在します。

TOPへ戻る

感染方法

・バイナリを手動で実行、あるいはautorun.infが格納されたフォルダを開くと、autorun.infファイルで自動実行が開始され、感染します。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

TOPへ戻る