製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:R
ウイルス情報
ウイルス名危険度
W32/Rotinom
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
6047
対応定義ファイル
(現在必要とされるバージョン)
6369 (現在7576)
対応エンジン5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky: Trojan.Win32.Agent2.ldt Microsoft: Trojan:Win32/Folstart.A Avira: TR/Agent2.ldt.36
Kaspersky: Trojan.Win32.Agent2.crpo
Microsoft: Trojan:Win32/Rotinom.B Symantec: W32.Rotinom
Ikarus: Trojan-Dropper.Agent
情報掲載日2010/08/20
発見日(米国日付)2010/07/18
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/28RDN/Generic ...
09/28RDN/PWS-Bank...
09/28RDN/Spybot.b...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7576
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Rotinomはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

ファイル情報

  • MD5: 1AA73C0183822722529BC356791131CC
  • SHA: A244CDAF5AD16432807B3F5C840F6D84498E0DF4

--2011年6月10日更新---

ファイル情報

  • MD5 - 7015DA5B6F2A4D5F5327670FB4E83191
  • SHA - 11001EE859E792358A16C32FE48CF19589522EAC

ウイルスの特徴TOPに戻る

・W32/Rotinomはリムーバブルドライブまたはネットワーク共有を介して繁殖する可能性があるワームです。ユーザをだまして開かせ、W32/Rotinomを実行させるため、Windowsの「Folder Icon」をアイコンとして使用します。

・実行時、以下の場所に自身をコピーします。

  • %UserProfile%\Local Settings\Application Data\Start\update.exe
  • [リムーバブルドライブ]:\XXX.exe

[注:XXXはリムーバブルメディア内の既存のフォルダ名]

・既存のフォルダ名で自身をコピーし、既存のフォルダの属性を変更して隠します。

・上記の「XXX.exe」ファイルはフォルダのように見えます。ファイルをクリックして開くと、バックグラウンドで動作すると同時に、対応するオリジナルのフォルダを開きます。

・以下のフォルダがシステムに追加されます。

  • %UserProfile%\Desktop\filesystem
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)\dmc
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)\Rotinom
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)\Rotinom\Usb 2.0 Driver
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)\Rotinom\Usb 2.0 Driver\S-1-5-(不定)
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)\Rotinom\Usb 2.0 Driver\S-1-5-(不定)\dmc
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)\Rotinom\Usb 2.0 Driver\S-1-5-(不定)\tlsr
  • %UserProfile%\Local Settings\Application Data\S-1-5-(不定)\tlsr
  • %UserProfile%\Local Settings\Application Data\Start
  • [リムーバブルドライブ]:\Usb 2.0 Driver\S-1-5-(不定)\dmc
  • [リムーバブルドライブ]:\Usb 2.0 Driver\S-1-5-(不定)\tlsr

・上記のフォルダはW32/Rotinomによって作成される隠しフォルダです。

・以下のレジストリ値が追加されます。

  • [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\]
    "Startup"="%UserProfile%\Local Settings\Application Data\Start"

・上記のレジストリにより、Windowsが起動するたびに、W32/Rotinomがスタートフォルダでプロセスを実行するようにします。

・以下のレジストリ値が削除されます。

  • [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\]
    "Startup"="%USERPROFILE%\Start Menu\Programs\Startup"

・以下のレジストリ値が改変されます。

  • [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
    Hidden="0x00000002"
  • [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
    HideFileExt="0x00000001"

・上記のレジストリ項目により、ファイル拡張子を隠し、乗っ取ったユーザが隠しファイル、フォルダを閲覧できないようにします。

・W32/Rotinomのインスタンスが一度に1つだけ動作するよう、以下のMutexオブジェクトが作成されます。

LDLLMAIN

注:

%UserProfile%はC:\Documents and Settings\[ユーザ名]

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイル、レジストリ項目、活動が見られます。

感染方法TOPへ戻る

・最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足