ウイルス情報

ウイルス名 危険度

New Malware.n

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4547
対応定義ファイル
(現在必要とされるバージョン)
5778 (現在7659)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Kaspersky - Worm.Win32.AutoRun.azrp
Microsoft - Worm:Win32/Orbina!rts
情報掲載日 2009/11/12
発見日(米国日付) 2005/08/01
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・New Malware.nはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ファイル情報

  • MD5 - 358E0CC0AFB3D8F99B5EB2211C9EE674
  • SHA - 957D8F2B0A1F5D6A04DAE81CE217DED7CCCF93D5
  • ファイルサイズ - 24816バイト

TOPへ戻る

ウイルスの特徴

・実行時、以下のレジストリ項目を使って、自身を乗っ取ったシステムに登録します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{001A8F88-01D3-4a02-AA3F-B98E100176F1}\InprocServer32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{001A8F88-01D3-4a02-AA3F-B98E100176F1}\InprocServer32

・また、正規のWindowsブラウザアプリケーションにフックし、バックグラウンドで動作します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11F09AFD-75AD-4E51-AB43-E09E9351CE16}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{296AB1C7-FB22-4D17-8834-064E2BA0A6F0}

・New Malware.nが実行されると、以下のレジストリ項目を使って、アプリケーションの実行を別のアプリケーションにリダイレクトします。これにより、システムの乗っ取り後に下記のセキュリティ関連のソフトウェアが動作しないようにします。一例は以下のとおりです。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rp.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safeup.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360sd.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360upp.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRun.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GuardField.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kav32.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LiveUpdate360.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshield.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nod32kui.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAV.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.EXE
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ZhuDongFangYu.EXE

・乗っ取ったシステムでリムーバブルドライブを使用すると、New Malware.nを自動的に実行するautorun.infファイルを作成して、リムーバブルドライブに拡散しようとします。

・実行に成功すると、以下のアドレスを使ってリモートサーバに接続しようとします。

  • x.money[削除].com

・以下のレジストリ項目を作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager

・以下のファイルがシステムに追加されます。

  • %SystemDrive%\ AUTORUN.INF
  • %SystemDrive% \YYVZG.PIF
  • %Temp%\dll3F.tmp

注:[%SystemDrive%はオペレーティングシステムがインストールされているドライブで、ほとんどの場合はC:\になります]

・実行時、以下の実行をリダイレクトします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE\debugger: "ntsd -d"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360upp.EXE\debugger: "ntsd -d"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshield.EXE\debugger: "ntsd -d"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.EXE\debugger: "ntsd -d"

・リモートサイトから悪質なコンテンツをダウンロードします。ダウンロードするファイルは以下のとおりです。

  • %SystemDir%\360trac.exe [Generic Dropper.exという名前で検出]

・以下は一般的なパス変数の既定値です。(異なる場合もありますが、一般的には以下のとおりです。)

%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)
%SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000)
%ProgramFiles% = \Program Files

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

1. リモートサーバに接続し、悪質なコンテンツをダウンロードします。

2. レジストリを改変します。

3. Image File Executionを使って、実行をリダイレクトします。

4. 検出されにくくし、ファイルのサイズを減らすため、ランタイムパッカーで圧縮されます。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

TOPへ戻る

駆除方法

・New Malware.nは、ヒューリスティカルに認識されたファイルであるという指針です。AVERTに、検出されたファイルを送付してください。

TOPへ戻る