McAfee for Small Businesses

ウイルス名 危険度 Roarur.dr 企業ユーザ: 低[要注意] 個人ユーザ: 低[要注意] 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 5862 対応定義ファイル (現在必要とされるバージョン) 5866　（現在7083) 対応エンジン 5.4.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Operation Aurora (stage II - downloaded malware) Backdoor.Win32.Mdmbot (Ikarus) Backdoor:Win32/Mdmbot.A (Microsft) Backdoor:Win32/Mdmbot.B (Microsft) Backdoor:Win32/Mdmbot.C (Microsft) Backdoor:Win32/Mdmbot.D (Microsft) Trj/Roarur.A (Panda) TROJ_HYDRAQ.SMA (Trend Micro) Trojan.Hydraq (Symantec) W32/Roarur.NAF!tr.spy (Fortinet) 情報掲載日 2010/01/20 発見日（米国日付） 2010/01/14 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/21 RDN/Generic ... 05/21 RDN/Generic ... 05/21 RDN/Generic.... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7083  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・Operation Auroraの詳細は以下を参照してください。 Exploit-Comele - Operation Aurora（第1段階 - 最初のエクスプロイト） Roarur.dll - Operation Aurora（第3段階 - ドロップ／インストールされるマルウェア） ・Roarur.drが実行されると、以下のファイルが%SYSDIR%フォルダにドロップされます。 %SystemDir%\Rasmon.dll ・ここに最初にドロップされたファイルを削除するため、以下のバッチファイルが作成されます。 %SYSDIR%\DFS.bat ・このDLLは、ウイルス定義ファイル5862では、Roarur.dllという名前で検出されます。 ・Rasmon.dllがSVCHOST.EXEに挿入され、ターゲットコンピュータにさらなるサービスが作成されます。 ・以下のレジストリキーが作成されます。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[% ランダムな4文字 %] "ImagePath" = %SystemRoot%\svchost.exe -k netsvcs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[% ランダムな4文字 %] "Start"= 02, 00, 00, 00 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[% ランダムな4文字 %]\Parameters "ServiceDll" = %SystemRoot%\rasmon.dll ・以下のリモートサーバへの接続が試行されます。 360.home[削除].com 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記の活動が見られます。 上記のファイルが存在します。 感染方法 TOPへ戻る ・Roarur.drはExploit-Comeleによってダウンロードされることが確認されています。 駆除方法 TOPへ戻る ■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。 Windows ME/XPでの駆除についての補足