ウイルス情報

ウイルス名 危険度

W32/Rotinom

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
6047
対応定義ファイル
(現在必要とされるバージョン)
6369 (現在7634)
対応エンジン 5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Kaspersky: Trojan.Win32.Agent2.ldt Microsoft: Trojan:Win32/Folstart.A Avira: TR/Agent2.ldt.36
Kaspersky: Trojan.Win32.Agent2.crpo
Microsoft: Trojan:Win32/Rotinom.B Symantec: W32.Rotinom
Ikarus: Trojan-Dropper.Agent
情報掲載日 2010/08/20
発見日(米国日付) 2010/07/18
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W32/Rotinomはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

ファイル情報

  • MD5: 1AA73C0183822722529BC356791131CC
  • SHA: A244CDAF5AD16432807B3F5C840F6D84498E0DF4

--2011年6月10日更新---

ファイル情報

  • MD5 - 7015DA5B6F2A4D5F5327670FB4E83191
  • SHA - 11001EE859E792358A16C32FE48CF19589522EAC

TOPへ戻る

ウイルスの特徴

・W32/Rotinomはリムーバブルドライブまたはネットワーク共有を介して繁殖する可能性があるワームです。ユーザをだまして開かせ、W32/Rotinomを実行させるため、Windowsの「Folder Icon」をアイコンとして使用します。

・実行時、以下の場所に自身をコピーします。

  • %UserProfile%\Local Settings\Application Data\Start\update.exe
  • [リムーバブルドライブ]:\XXX.exe

[注:XXXはリムーバブルメディア内の既存のフォルダ名]

・既存のフォルダ名で自身をコピーし、既存のフォルダの属性を変更して隠します。

・上記の「XXX.exe」ファイルはフォルダのように見えます。ファイルをクリックして開くと、バックグラウンドで動作すると同時に、対応するオリジナルのフォルダを開きます。

・以下のフォルダがシステムに追加されます。

  • %UserProfile%\Desktop\filesystem
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)\dmc
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)\Rotinom
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)\Rotinom\Usb 2.0 Driver
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)\Rotinom\Usb 2.0 Driver\S-1-5-(不定)
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)\Rotinom\Usb 2.0 Driver\S-1-5-(不定)\dmc
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)\Rotinom\Usb 2.0 Driver\S-1-5-(不定)\tlsr
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)\tlsr
  • %UserProfile%\Local Settings\Application Data\Start
  • [リムーバブルドライブ]:\Usb 2.0 Driver\S-1-5-(不定)\dmc
  • [リムーバブルドライブ]:\Usb 2.0 Driver\S-1-5-(不定)\tlsr

・上記のフォルダはW32/Rotinomによって作成される隠しフォルダです。

・以下のレジストリ値が追加されます。

  • [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\]
    "Startup"="%UserProfile%\Local Settings\Application Data\Start"

・上記のレジストリにより、Windowsが起動するたびに、W32/Rotinomがスタートフォルダでプロセスを実行するようにします。

・以下のレジストリ値が削除されます。

  • [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\]
    "Startup"="%USERPROFILE%\Start Menu\Programs\Startup"

・以下のレジストリ値が改変されます。

  • [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
    Hidden="0x00000002"
  • [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
    HideFileExt="0x00000001"

・上記のレジストリ項目により、ファイル拡張子を隠し、乗っ取ったユーザが隠しファイル、フォルダを閲覧できないようにします。

・W32/Rotinomのインスタンスが一度に1つだけ動作するよう、以下のMutexオブジェクトが作成されます。

LDLLMAIN

注:

%UserProfile%はC:\Documents and Settings\[ユーザ名]

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイル、レジストリ項目、活動が見られます。

TOPへ戻る

感染方法

・最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る