ウイルス情報

ウイルス名 危険度

Roarur.dr

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5862
対応定義ファイル
(現在必要とされるバージョン)
5866 (現在7656)
対応エンジン 5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Operation Aurora (stage II - downloaded malware)
Backdoor.Win32.Mdmbot (Ikarus)
Backdoor:Win32/Mdmbot.A (Microsft)
Backdoor:Win32/Mdmbot.B (Microsft)
Backdoor:Win32/Mdmbot.C (Microsft)
Backdoor:Win32/Mdmbot.D (Microsft)
Trj/Roarur.A (Panda)
TROJ_HYDRAQ.SMA (Trend Micro)
Trojan.Hydraq (Symantec)
W32/Roarur.NAF!tr.spy (Fortinet)
情報掲載日 2010/01/20
発見日(米国日付) 2010/01/14
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Roarur.drはターゲットコンピュータにさらなる悪質なファイルをドロップ(作成)するトロイの木馬です。

TOPへ戻る

ウイルスの特徴

Operation Auroraの詳細は以下を参照してください。

  • Exploit-Comele - Operation Aurora(第1段階 - 最初のエクスプロイト)
  • Roarur.dll - Operation Aurora(第3段階 - ドロップ/インストールされるマルウェア)

・Roarur.drが実行されると、以下のファイルが%SYSDIR%フォルダにドロップされます。

  • %SystemDir%\Rasmon.dll

・ここに最初にドロップされたファイルを削除するため、以下のバッチファイルが作成されます。

  • %SYSDIR%\DFS.bat

・このDLLは、ウイルス定義ファイル5862では、Roarur.dllという名前で検出されます。

・Rasmon.dllがSVCHOST.EXEに挿入され、ターゲットコンピュータにさらなるサービスが作成されます。

・以下のレジストリキーが作成されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[% ランダムな4文字 %]
  • "ImagePath" = %SystemRoot%\svchost.exe -k netsvcs
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[% ランダムな4文字 %]
  • "Start"= 02, 00, 00, 00
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[% ランダムな4文字 %]\Parameters
  • "ServiceDll" = %SystemRoot%\rasmon.dll

・以下のリモートサーバへの接続が試行されます。

  • 360.home[削除].com

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記の活動が見られます。
  • 上記のファイルが存在します。

TOPへ戻る

感染方法

・Roarur.drはExploit-Comeleによってダウンロードされることが確認されています。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る