New Malware.n | ウイルス情報

製品情報

導入事例

-	最新ウイルス一覧
-	ウイルス検索
-	駆除ツール
-	主要ウイルスナビゲータ
-	Daily DATリリースに関するFAQ
-	ウイルス絵とき理解
-	ウイルス画像事典
-	ウイルス解析依頼
-	ウイルス用語集
-	ウイルスの危険度格付け
-	セキュリティ対策のヒント
-	無料セキュリティ情報サービス

Home → セキュリティ情報 → ウイルス情報：N

ウイルス情報

ウイルス名

危険度

New Malware.n

企業ユーザ: 低
個人ユーザ: 低

種別	トロイの木馬
最小定義ファイル (最初に検出を確認したバージョン)	4547
対応定義ファイル (現在必要とされるバージョン)	5778　（現在7084)
対応エンジン	5.1.00以降　(現在5.4.00)　エンジンバージョンの見分け方
別名	Kaspersky - Worm.Win32.AutoRun.azrp Microsoft - Worm:Win32/Orbina!rts
情報掲載日	2009/11/12
発見日（米国日付）	2005/08/01
駆除補足	ウイルス駆除のヒント


	最新ウイルス

05/22	W32/Virut.ge...
05/22	W32/Duel!962...
05/22	W32/Duel!EC1...

		定義ファイル・エンジンのダウンロード!
	定義ファイル：7084 エンジン：5.4.00

		ウイルス検索

概要

TOPに戻る

・New Malware.nはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC（インターネットリレーチャット）、ピアツーピアネットワークなどを通じて配布されます。

ファイル情報

MD5 - 358E0CC0AFB3D8F99B5EB2211C9EE674
SHA - 957D8F2B0A1F5D6A04DAE81CE217DED7CCCF93D5
ファイルサイズ - 24816バイト

ウイルスの特徴 TOPに戻る

・実行時、以下のレジストリ項目を使って、自身を乗っ取ったシステムに登録します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{001A8F88-01D3-4a02-AA3F-B98E100176F1}\InprocServer32

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{001A8F88-01D3-4a02-AA3F-B98E100176F1}\InprocServer32

・また、正規のWindowsブラウザアプリケーションにフックし、バックグラウンドで動作します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11F09AFD-75AD-4E51-AB43-E09E9351CE16}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{296AB1C7-FB22-4D17-8834-064E2BA0A6F0}

・New Malware.nが実行されると、以下のレジストリ項目を使って、アプリケーションの実行を別のアプリケーションにリダイレクトします。これにより、システムの乗っ取り後に下記のセキュリティ関連のソフトウェアが動作しないようにします。一例は以下のとおりです。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rp.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safeup.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360sd.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360upp.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRun.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GuardField.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kav32.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LiveUpdate360.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshield.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nod32kui.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAV.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ZhuDongFangYu.EXE

・乗っ取ったシステムでリムーバブルドライブを使用すると、New Malware.nを自動的に実行するautorun.infファイルを作成して、リムーバブルドライブに拡散しようとします。

・実行に成功すると、以下のアドレスを使ってリモートサーバに接続しようとします。

x.money[削除].com

・以下のレジストリ項目を作成します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager

・以下のファイルがシステムに追加されます。

%SystemDrive%\ AUTORUN.INF

%SystemDrive% \YYVZG.PIF

%Temp%\dll3F.tmp

注：[%SystemDrive%はオペレーティングシステムがインストールされているドライブで、ほとんどの場合はC:\になります]

・実行時、以下の実行をリダイレクトします。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE\debugger: "ntsd -d"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360upp.EXE\debugger: "ntsd -d"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshield.EXE\debugger: "ntsd -d"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.EXE\debugger: "ntsd -d"

・リモートサイトから悪質なコンテンツをダウンロードします。ダウンロードするファイルは以下のとおりです。

%SystemDir%\360trac.exe [Generic Dropper.exという名前で検出]

・以下は一般的なパス変数の既定値です。（異なる場合もありますが、一般的には以下のとおりです。）

%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)
%SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000)
%ProgramFiles% = \Program Files

以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る

1. リモートサーバに接続し、悪質なコンテンツをダウンロードします。

2. レジストリを改変します。

3. Image File Executionを使って、実行をリダイレクトします。

4. 検出されにくくし、ファイルのサイズを減らすため、ランタイムパッカーで圧縮されます。

感染方法 TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

駆除方法 TOPへ戻る
・New Malware.nは、ヒューリスティカルに認識されたファイルであるという指針です。AVERTに、検出されたファイルを送付してください。

McAfee for Small Businesses

Navigation

Utility Navigation

Footer