製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:N
ウイルス情報
ウイルス名危険度
New Malware.n
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4547
対応定義ファイル
(現在必要とされるバージョン)
5778 (現在7593)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky - Worm.Win32.AutoRun.azrp
Microsoft - Worm:Win32/Orbina!rts
情報掲載日2009/11/12
発見日(米国日付)2005/08/01
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/18Generic.dx!E...
10/18RDN/Download...
10/18RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・New Malware.nはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ファイル情報

  • MD5 - 358E0CC0AFB3D8F99B5EB2211C9EE674
  • SHA - 957D8F2B0A1F5D6A04DAE81CE217DED7CCCF93D5
  • ファイルサイズ - 24816バイト

ウイルスの特徴TOPに戻る

・実行時、以下のレジストリ項目を使って、自身を乗っ取ったシステムに登録します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{001A8F88-01D3-4a02-AA3F-B98E100176F1}\InprocServer32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{001A8F88-01D3-4a02-AA3F-B98E100176F1}\InprocServer32

・また、正規のWindowsブラウザアプリケーションにフックし、バックグラウンドで動作します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11F09AFD-75AD-4E51-AB43-E09E9351CE16}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{296AB1C7-FB22-4D17-8834-064E2BA0A6F0}

・New Malware.nが実行されると、以下のレジストリ項目を使って、アプリケーションの実行を別のアプリケーションにリダイレクトします。これにより、システムの乗っ取り後に下記のセキュリティ関連のソフトウェアが動作しないようにします。一例は以下のとおりです。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rp.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safeup.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360sd.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360upp.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRun.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GuardField.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kav32.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LiveUpdate360.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshield.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nod32kui.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAV.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ZhuDongFangYu.EXE

・乗っ取ったシステムでリムーバブルドライブを使用すると、New Malware.nを自動的に実行するautorun.infファイルを作成して、リムーバブルドライブに拡散しようとします。

・実行に成功すると、以下のアドレスを使ってリモートサーバに接続しようとします。

  • x.money[削除].com

・以下のレジストリ項目を作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager

・以下のファイルがシステムに追加されます。

  • %SystemDrive%\ AUTORUN.INF
  • %SystemDrive% \YYVZG.PIF
  • %Temp%\dll3F.tmp

注:[%SystemDrive%はオペレーティングシステムがインストールされているドライブで、ほとんどの場合はC:\になります]

・実行時、以下の実行をリダイレクトします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE\debugger: "ntsd -d"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360upp.EXE\debugger: "ntsd -d"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshield.EXE\debugger: "ntsd -d"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.EXE\debugger: "ntsd -d"

・リモートサイトから悪質なコンテンツをダウンロードします。ダウンロードするファイルは以下のとおりです。

  • %SystemDir%\360trac.exe [Generic Dropper.exという名前で検出]

・以下は一般的なパス変数の既定値です。(異なる場合もありますが、一般的には以下のとおりです。)

%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)
%SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000)
%ProgramFiles% = \Program Files

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

1. リモートサーバに接続し、悪質なコンテンツをダウンロードします。

2. レジストリを改変します。

3. Image File Executionを使って、実行をリダイレクトします。

4. 検出されにくくし、ファイルのサイズを減らすため、ランタイムパッカーで圧縮されます。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

駆除方法TOPへ戻る

New Malware.nは、ヒューリスティカルに認識されたファイルであるという指針です。AVERTに、検出されたファイルを送付してください。