ウイルス情報

ウイルス名 危険度

W32/Routrobot.worm

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5881
対応定義ファイル
(現在必要とされるバージョン)
5932 (現在7659)
対応エンジン 5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 F-Secure - Worm:W32/Prolaco.O Kaspersky - Trojan.Win32.Buzus.dbfm Microsoft - Worm:Win32/Prolaco.gen!C Sunbelt - Worm.Win32.Prolaco.gen (v)
情報掲載日 2010/03/30
発見日(米国日付) 2010/02/03
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W32/Routrobot.wormはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ファイル情報:
  • ファイルサイズ - 607232バイト
  • MD5 - C2193DC41061EF56591F4821392599CB
  • SHA1 - 80366CDE71B84606CE8ECF62B5BD2E459C54942E

-----2010年3月11日更新------

ファイル情報

  • MD5 - eca1407e247ccc71792f5905c0f6e4bf
  • SHA - 227D4018B258AE844D3639B46BC634D0709549FD

-----2010年3月29日更新------

ファイル情報

  • MD5 - 65419ff82ac3ae8d15f828c29f3e6217
  • SHA - FAA689B0EBD5F4883F4F2523E05AB7AE09815CEC

TOPへ戻る

ウイルスの特徴

・実行時、以下のファイルをドロップ(作成)します。

  • %WinDir%\mswinsck.dat [隠しファイル]
  • %WinDir%\system32\javawss.exe [%WinDir%\system32\javan.exeという名前で検出]

・また、以下の場所に自身をコピーします。

  • %WinDir%\system32\javan.exe [W32/Routrobot.wormという名前で検出]

・「Whatismyip.com」に接続して、ターゲットのIPアドレスを入手します。

・また、P2Pアプリケーションの共有フォルダに自身をコピーして拡散します。

  • %ProgramFiles%\LimeWire\Shared\
  • %ProgramFiles%\Grokster\My Grokster\
  • %ProgramFiles%\Morpheus\My Shared Folder\

・上記のフォルダに以下のユーザの気を引くファイル名で自身のコピーを作成します。

  • K-Lite Mega Codec v5.5.1.exe
  • YouTubeGet 5.4.exe
  • Windows 2008 Enterprise Server VMWare Virtual Machine.exe
  • K-Lite Mega Codec v5.6.1 Portable.exe
  • Adobe Photoshop CS4 crack.exe
  • VmWare 7.0 keygen.exe
  • WinRAR v3.x keygen RaZoR.exe
  • Twitter FriendAdder 2.1.1.exe
  • PDF Unlocker v2.0.3.exe
  • Image Size Reducer Pro v1.0.1.exe
  • Anti-Porn v13.5.12.29.exe
  • Norton Internet Security 2010 crack.exe
  • Kaspersky AntiVirus 2010 crack.exe
  • PDF-XChange Pro.exe
  • Windows 7 Ultimate keygen.exe
  • RapidShare Killer AIO 2010.exe
  • Ashampoo Snap 3.02.exe
  • Blaze DVD Player Pro v6.52.exe
  • Adobe Illustrator CS4 crack.exe
  • Rapidshare Auto Downloader 3.8.exe
  • Trojan Killer v2.9.4173.exe
  • PDF to Word Converter 3.0.exe
  • Google SketchUp 7.1 Pro.exe
  • McAfee Total Protection 2010.exe
  • Mp3 Splitter and Joiner Pro v3.48.exe
  • Youtube Music Downloader 1.0.exe
  • Adobe Acrobat Reader keygen.exe
  • VmWare keygen.exe
  • AnyDVD HD v.6.3.1.8 Beta incl crack.exe
  • Ad-aware 2010.exe
  • BitDefender AntiVirus 2010 Keygen.exe
  • Norton Anti-Virus 2010 Enterprise Crack.exe
  • Total Commander7 license+keygen.exe
  • LimeWire Pro v4.18.3.exe
  • Download Accelerator Plus v9.exe
  • Internet Download Manager V5.exe
  • Myspace theme collection.exe
  • Nero 9 9.2.6.0 keygen.exe
  • Motorola, nokia, ericsson mobil phone tools.exe
  • Absolute Video Converter 6.2.exe
  • Daemon Tools Pro 4.11.exe
  • Download Boost 2.0.exe
  • Avast 4.8 Professional.exe
  • Grand Theft Auto IV (Offline Activation).exe
  • Alcohol 120 v1.9.7.exe
  • CleanMyPC Registry Cleaner v6.02.exe
  • Super Utilities Pro 2009 11.0.exe
  • Power ISO v4.2 + keygen axxo.exe
  • G-Force Platinum v3.7.5.exe
  • Divx Pro 7 + keymaker.exe
  • Magic Video Converter 8 0 2 18.exe
  • Sophos antivirus updater bypass.exe
  • DVD Tools Nero 10.5.6.0.exe
  • Winamp.Pro.v7.33.PowerPack.Portable+installer.exe
  • PDF password remover (works with all acrobat reader).exe
  • Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
  • Windows2008 keygen and activator.exe
  • Tuneup Ultilities 2010.exe
  • Kaspersky Internet Security 2010 keygen.exe
  • Windows XP PRO Corp SP3 valid-key generator.exe
  • Starcraft2 Patch v0.2.exe
  • Starcraft2 keys.txt.exe
  • Starcraft2 Crack.exe
  • Starcraft2 Oblivion DLL.exe
  • Starcraft2.exe

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7F2G3GXM-HP26-D7E5-F3LM-82EG3114PI2D}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\japplet3
  • HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\japplet3

・以下のレジストリ値が追加されます。

・以下の値をレジストリキーに追加して、Windowsファイアウォールで許可されたアプリケーションとして自身を登録します。

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
    “%WinDir%\System32\javan.exe” = "%WinDir%\System32\javan.exe:*:Enabled:Explorer"

・以下のレジストリにより、W32/Routrobot.wormが乗っ取ったシステムに登録され、再起動のたびに実行されるようにします。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7F2G3GXM-HP26-D7E5-F3LM-82EG3114PI2D}\]
    “StubPath” = "%WinDir%\System32\javawss.exe”
  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\]
    “Cisco Systems VPN client” = "%WinDir%\System32\javawss.exe"
  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
    “SunJavaUpdaterv14” = "%WinDir%\System32\javan.exe"
  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
    “Cisco Systems VPN client” = "%WinDir%\System32\javawss.exe"

・以下のレジストリ値が改変されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\]
    "Start" = "0x00000004"

・以下のレジストリ項目により、Error Reporting Service(ERSvc)を無効にします。

「%WinDir%はデフォルトのWindowsフォルダ(例:C:\WINNT、C:\WINDOWSなど)、%Programfiles%はC:\Program Files\]

・以下のIPアドレスに接続します。

  • 202.54.[削除].60 through remote port 53.
  • 204.13.[削除].126 through remote port 443.

--------------------------------------------------------------------------------

-----2010年3月11日更新------

・実行時、以下の場所に自身をコピーします。

  • %WinDir%\system32\javaupdater.exe

・また、以下のファイル名を使って、P2Pアプリケーションの共有フォルダに自身をコピーして拡散します。

(一般的に、使われるファイル名は人気のあるアプリケーションとそのクラック/キージェネレータです。)

共有フォルダ

  • %ProgramFiles%\winmx\shared\
  • %ProgramFiles%\tesla\files\
  • %ProgramFiles%\morpheus\my shared folder\
  • %ProgramFiles%\emule\incoming\
  • %ProgramFiles%\edonkey2000\incoming\
  • %ProgramFiles%\bearshare\shared\
  • %ProgramFiles%\grokster\my grokster\
  • %ProgramFiles%\icq\shared folder\
  • %ProgramFiles%\kazaa lite k++\my shared folder\
  • %ProgramFiles%\kazaa lite\my shared folder\
  • %ProgramFiles%\kazaa\my shared folder\

ファイル名

  • K-Lite Mega Codec v5.5.1.exe
  • YouTubeGet 5.4.exe
  • Windows 2008 Enterprise Server VMWare Virtual Machine.exe
  • K-Lite Mega Codec v5.6.1 Portable.exe
  • Adobe Photoshop CS4 crack.exe
  • VmWare 7.0 keygen.exe
  • WinRAR v3.x keygen RaZoR.exe
  • Twitter FriendAdder 2.1.1.exe
  • PDF Unlocker v2.0.3.exe
  • Image Size Reducer Pro v1.0.1.exe
  • Anti-Porn v13.5.12.29.exe
  • Norton Internet Security 2010 crack.exe
  • Kaspersky AntiVirus 2010 crack.exe
  • PDF-XChange Pro.exe
  • Windows 7 Ultimate keygen.exe
  • RapidShare Killer AIO 2010.exe
  • Ashampoo Snap 3.02.exe
  • Blaze DVD Player Pro v6.52.exe
  • Adobe Illustrator CS4 crack.exe
  • Rapidshare Auto Downloader 3.8.exe
  • Worm Killer v2.9.4173.exe
  • PDF to Word Converter 3.0.exe
  • Google SketchUp 7.1 Pro.exe
  • McAfee Total Protection 2010.exe
  • Mp3 Splitter and Joiner Pro v3.48.exe
  • Youtube Music Downloader 1.0.exe
  • Adobe Acrobat Reader keygen.exe
  • VmWare keygen.exe
  • AnyDVD HD v.6.3.1.8 Beta incl crack.exe
  • Ad-aware 2010.exe
  • BitDefender AntiVirus 2010 Keygen.exe
  • Norton Anti-Virus 2010 Enterprise Crack.exe
  • Total Commander7 license+keygen.exe
  • LimeWire Pro v4.18.3.exe
  • Download Accelerator Plus v9.exe
  • Internet Download Manager V5.exe
  • Myspace theme collection.exe
  • Nero 9 9.2.6.0 keygen.exe
  • Motorola, nokia, ericsson mobil phone tools.exe
  • Absolute Video Converter 6.2.exe
  • Daemon Tools Pro 4.11.exe
  • Download Boost 2.0.exe
  • Avast 4.8 Professional.exe
  • Grand Theft Auto IV (Offline Activation).exe
  • Alcohol 120 v1.9.7.exe
  • CleanMyPC Registry Cleaner v6.02.exe
  • Super Utilities Pro 2009 11.0.exe
  • Power ISO v4.2 + keygen axxo.exe
  • G-Force Platinum v3.7.5.exe
  • Divx Pro 7 + keymaker.exe
  • Magic Video Converter 8 0 2 18.exe
  • Sophos antivirus updater bypass.exe
  • DVD Tools Nero 10.5.6.0.exe
  • Winamp.Pro.v7.33.PowerPack.Portable+installer.exe
  • PDF password remover (works with all acrobat reader).exe
  • Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
  • Windows2008 keygen and activator.exe
  • Tuneup Ultilities 2010.exe
  • Kaspersky Internet Security 2010 keygen.exe
  • Windows XP PRO Corp SP3 valid-key generator.exe
  • Starcraft2 Patch v0.2.exe
  • Starcraft2 keys.txt.exe
  • Starcraft2 Crack.exe
  • Starcraft2 Oblivion DLL.exe
  • Starcraft2.exe

・また、以下の場所にファイルをダウンロードします。

  • %AppData%\SystemProc\lsass.exe

・W32/Routrobot.wormが実行されると、「whatismyip.com」に接続してターゲットマシンのIPアドレスを検索します。また、自身のコードをsvchost.exeに挿入して、リモートポート53を介して、202.54.[削除].60に接続します。

・以下のレジストリキーがシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\japplet2]

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_USERS\S-1(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
    "SunJavaUpdate01:" = "%WinDir%\system32\ javaupdater.exe"

・上記のレジストリ項目により、Windowsが起動するたびにW32/Routrobot.wormが実行されるようにします。

・以下の値をレジストリキーに追加して、Windowsのユーザアカウント制御(UAC)を無効にします。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\]
    "UACDisableNotify:" = "0x00000001"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\]
    "EnableLUA:" = "0x00000000"

・以下の値をレジストリキーに追加して、Windowsファイアウォールで許可されたアプリケーションとして自身を登録します。

  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
    “%WinDir%\System32\javaupdater.exe:”= "%WinDir%\System32\javaupdater.exe:*:Enabled:Explorer"

・以下のレジストリ値が改変されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\]
    “Start:” = “0x00000004”
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\]
    “Start:” = “0x00000004”
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\]
    “Start:”= “0x00000004”
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\]
    “Start:”= “0x00000004” /LI>

・上記のレジストリ項目により、Error Reporting Service(ERSvc)およびWindows Security Center Service(wscsvc)を無効にします。

・ユーザのシステムの乗っ取り後、以下のよく使われている検索エンジンに入力された検索キーワードを偵察します。

  • Google
  • yahoo
  • live
  • msn
  • bing

・また、以下の検索キーワードを除外します。

  • cialis
  • pharma
  • casino
  • finance
  • mortgage
  • insurance
  • gambling
  • health
  • hotel
  • travel
  • antivirus
  • antivir
  • pocker
  • poker
  • video
  • baby
  • bany
  • porn
  • golf
  • diet
  • vocations
  • design
  • graphic
  • football
  • footbal
  • estate
  • job
  • baseball
  • shop
  • books
  • gifts
  • money
  • spyware
  • credit
  • loans
  • loan
  • dating
  • ebay
  • myspace
  • virus
  • film
  • ipod
  • verizon
  • amazon
  • iphone
  • software
  • movie
  • mobile
  • bank
  • music
  • cars
  • craigslist
  • game
  • sex
  • sport
  • medical
  • school
  • wallpaper
  • dvd
  • military
  • weather
  • twitter
  • fashion
  • spybot
  • trading
  • tramadol
  • yobt
  • flower
  • cigarettes
  • doctor
  • flights
  • airlines
  • comcast
  • Explorer
  • Opera
  • Chrome

・W32/Routrobot.wormはシステムに接続されているリムーバブルメディアに自身をコピーして拡散し、「autorun.inf」ファイルを作成して、デバイスが接続された別のシステムで自身を実行します。

[%Windir%はWindowsフォルダ(例:C:\WINDOWS)、%ProgramFiles%はC:\Program Files、%AppData%はC:\Documents and Settings\[ユーザ名]\Application Data]

---------------------------------------------

・W32/Routrobot.wormは電子メール、リムーバブルドライブ、ピアツーピアファイル共有ネットワークを介して拡散するワームです。また、乗っ取ったシステムのセキュリティ設定を下げます。

・W32/Routrobot.wormは以下の人気のあるピアツーピアファイル共有アプリケーションの共有フォルダに自身をコピーします。

  • %ProgramFiles%\LimeWire\Shared\
  • %ProgramFiles%\Grokster\My Grokster\
  • %ProgramFiles%\Morpheus\My Shared Folder\

・上記のフォルダに、ユーザの気を引くような以下のファイル名で自身のコピーを作成します。

  • K-Lite Mega Codec v5.5.1.exe
  • YouTubeGet 5.4.exe
  • Windows 2008 Enterprise Server VMWare Virtual Machine.exe
  • K-Lite Mega Codec v5.6.1 Portable.exe
  • Adobe Photoshop CS4 crack.exe
  • VmWare 7.0 keygen.exe
  • WinRAR v3.x keygen RaZoR.exe
  • Twitter FriendAdder 2.1.1.exe
  • PDF Unlocker v2.0.3.exe
  • Image Size Reducer Pro v1.0.1.exe
  • Anti-Porn v13.5.12.29.exe
  • Norton Internet Security 2010 crack.exe
  • Kaspersky AntiVirus 2010 crack.exe
  • PDF-XChange Pro.exe
  • Windows 7 Ultimate keygen.exe
  • RapidShare Killer AIO 2010.exe
  • Ashampoo Snap 3.02.exe
  • Blaze DVD Player Pro v6.52.exe
  • Adobe Illustrator CS4 crack.exe
  • Rapidshare Auto Downloader 3.8.exe
  • Trojan Killer v2.9.4173.exe
  • PDF to Word Converter 3.0.exe
  • Google SketchUp 7.1 Pro.exe
  • McAfee Total Protection 2010.exe
  • Mp3 Splitter and Joiner Pro v3.48.exe
  • Youtube Music Downloader 1.0.exe
  • Adobe Acrobat Reader keygen.exe
  • VmWare keygen.exe
  • AnyDVD HD v.6.3.1.8 Beta incl crack.exe
  • Ad-aware 2010.exe
  • BitDefender AntiVirus 2010 Keygen.exe
  • Norton Anti-Virus 2010 Enterprise Crack.exe
  • Total Commander7 license+keygen.exe
  • LimeWire Pro v4.18.3.exe
  • Download Accelerator Plus v9.exe
  • Internet Download Manager V5.exe
  • Myspace theme collection.exe
  • Nero 9 9.2.6.0 keygen.exe
  • Motorola, nokia, ericsson mobil phone tools.exe
  • Absolute Video Converter 6.2.exe
  • Daemon Tools Pro 4.11.exe
  • Download Boost 2.0.exe
  • Avast 4.8 Professional.exe
  • Grand Theft Auto IV (Offline Activation).exe
  • Alcohol 120 v1.9.7.exe
  • CleanMyPC Registry Cleaner v6.02.exe
  • Super Utilities Pro 2009 11.0.exe
  • Power ISO v4.2 + keygen axxo.exe
  • G-Force Platinum v3.7.5.exe
  • Divx Pro 7 + keymaker.exe
  • Magic Video Converter 8 0 2 18.exe
  • Sophos antivirus updater bypass.exe
  • DVD Tools Nero 10.5.6.0.exe
  • Winamp.Pro.v7.33.PowerPack.Portable+installer.exe
  • PDF password remover (works with all acrobat reader).exe
  • Microsoft.Windows 7 ULTIMATE FINAL activator+keygen
  • Windows2008 keygen and activator.exe
  • Tuneup Ultilities 2010.exe
  • Kaspersky Internet Security 2010 keygen.exe
  • Windows XP PRO Corp SP3 valid-key generator.exe

・実行時、以下の場所に自身をコピーします。

  • %SysDir%\GoogleUpdate.exe

・以下のファイルをドロップ(作成)します。

  • %SysDir%\stacsv.exe
  • %SysDir%\bootstat.ocx [隠しファイル]

・「bootstat.ocx」という名前のファイルは乗っ取ったユーザのすべてのキー入力を収集し、その情報をリモート攻撃者に送信します。

・W32/Routrobot.wormが実行されると、「whatismyip.com」に接続して感染したマシンのIPアドレスを検索します。

・以下のレジストリ項目が乗っ取ったシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{4207UWF4-IXEP-UTPF-2TDE-6606643L1T10}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Google1
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy

・以下のレジストリ値が追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{4207UWF4-IXEP-UTPF-2TDE-6606643L1T10}\StubPath: ""%SysDir%\stacsv.exe""

・以下の値をレジストリキーに追加して、Windowsファイアウォールで許可されたアプリケーションとして自身を登録します。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%SysDir%\GoogleUpdate.exe: "%SysDir%\GoogleUpdate.exe:*:Enabled:Explorer"

・以下のレジストリ値を追加して、再起動のたびに自身を実行します。

  • HKEY_USERS\S-1-5-21-1004336348-1326574676-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Sun Java Updater: "%SysDir%\stacsv.exe"
  • HKEY_USERS\S-1-5-21-1004336348-1326574676-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\Google Update: "%SysDir%\GoogleUpdate.exe"
  • HKEY_USERS\S-1-5-21-1004336348-1326574676-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\Sun Java Updater: "%SysDir%\stacsv.exe"

・以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\Start: 0x00000004

・上記のレジストリ項目により、Error Reporting Service(ERSvc)およびWindows Security Center Service(wscsvc)を無効にします。

[%SysDir%はWindowsのシステムフォルダ(例:C:\Windows\System32\)。%Programfiles%はC:\Program Files\]

2010年2月21日更新

・実行時、以下の場所に自身をコピーします。

  • %System%\GoogleMapper.exe

・実行時、以下のファイルをドロップ(作成)します。

  • %AppData%\SystemProc\lsass.exe
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf

・以下のフォルダが作成されます。

  • %AppData%\SystemProc
  • %ProgramFiles%\Mozilla Firefox
  • %ProgramFiles%\Mozilla Firefox\extensions
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content

注:

%AppData%はアプリケーション固有のデータの一般的なレジストリとして使われるファイルシステムフォルダを指す変数です。一般的なパスはC:\Documents and Settings\[ユーザ名]\Application Dataです。

%ProgramFiles%はProgram Filesフォルダを指す変数です。一般的なパスはC:\Program Filesです。

%System%はシステムフォルダを指す変数です。デフォルトではC:\Windows\System(Windows 95/98/Me)、C:\Winnt\System32(Windows NT/2000)、C:\Windows\System32(Windows XP)になります。

・乗っ取ったマシンのセキュリティ設定を下げるため、以下のサービスがW32/Routrobot.wormによって停止されます。

  • Error Reporting Service - ERSvc
  • セキュリティセンター - wscsvc

・以下のレジストリの改変が行われます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\googlex2
  • HKEY_CURRENT_USER\Software\Microsoft\googlex2

・セキュリティセンターからセキュリティ通知が行われないようにするため、以下のレジストリキーが改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center "UACDisableNotify" = "0x00000001 "

・システム起動時に動作するため、以下のレジストリ項目を作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run "RTHDBPL" = "%AppData%\SystemProc\lsass.exe"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "GoogleUpdater3" = "%\system32\GoogleMapper.exe"

・以下のサーバに接続します。

  • fermi.brixworx.com
  • guardian.cin.net
  • lurch.playbeing.com
  • oak.cin.net
  • mailhost.cin.net
  • ken.mailclub.fr
  • bradley.rrom17.com
  • mx2.cs.tut.fi
  • smtp2.cs.tut.fi
  • mx.cs.tut.fi
  • 95-91-65-181-dynip.superkabel.de
  • mail178.messagelabs.com
  • mail.philosys.de
  • mail194.messagelabs.com
  • methuselah.bigwig.net
  • mailcs.tut.fi
  • mx2.CARNet.hr
  • mail.CARNet.hr
  • lemorh.ieee.org
  • hormel.ieee.org
  • 207.47.72.28.static.nectweb.net
  • mx.tech.numericable.fr
  • portaol-front.tech.numericable.net
  • pop-noos.tech.numericable.net
  • smtp.tech.tech.numericable.net
  • smtp-mx3.alcatel.fr
  • mango.itojun.org
  • mail6.i.s-o.net
  • mx2.3ti.be
  • mxs.midg3t.net
  • mlnetlabs.nl
  • petit-huguenin.org
  • sbcmx5.prodigy.net
  • teluna.org
  • mandatory.mantraonline.com
  • hydra.gt.owl.de
  • bangpath.wcico.de
  • mail1.scram.de
  • ns.scram.de
  • mx2.uq.edu.au
  • spider.end.uq.edu.au
  • cheque1.cheque.uq.edu.au
  • gateway.atrie.de
  • mx1.advalvas.be
  • 193.227.114.116.nmv.be

--------------------------------------------------------------------------------

2010年3月2日更新

・上記の機能に加えて、以下の特徴が見られる可能性があります。

・実行時、以下の場所に自身をコピーします。

  • %System%\Javaupdater.exe
  • %System%\JNotifier.exe

・また、実行時、以下のファイルをドロップ(作成)します。

  • %AppData%\SystemProc\lsass.exe
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf

・また、以下のファイル名で一般的なファイル共有フォルダに自身のコピーをドロップ(作成)する可能性があります。

  • Absolute Video Converter 6.2.exe
  • Ad-aware 2010.exe
  • Adobe Acrobat Reader keygen.exe
  • Adobe Illustrator CS4 crack.exe
  • Adobe Photoshop CS4 crack.exe
  • Alcohol 120 v1.9.7.exe
  • Anti-Porn v13.5.12.29.exe
  • AnyDVD HD v.6.3.1.8 Beta incl crack.exe
  • Ashampoo Snap 3.02.exe
  • Avast 4.8 Professional.exe
  • BitDefender AntiVirus 2010 Keygen.exe
  • Blaze DVD Player Pro v6.52.exe
  • CleanMyPC Registry Cleaner v6.02.exe
  • Daemon Tools Pro 4.11.exe
  • Divx Pro 7 + keymaker.exe
  • Download Accelerator Plus v9.exe
  • Download Boost 2.0.exe
  • DVD Tools Nero 10.5.6.0.exe
  • G-Force Platinum v3.7.5.exe
  • Google SketchUp 7.1 Pro.exe
  • Grand Theft Auto IV (Offline Activation).exe
  • Image Size Reducer Pro v1.0.1.exe
  • Internet Download Manager V5.exe
  • Kaspersky AntiVirus 2010 crack.exe
  • Kaspersky Internet Security 2010 keygen.exe
  • K-Lite Mega Codec v5.5.1.exe
  • K-Lite Mega Codec v5.6.1 Portable.exe
  • LimeWire Pro v4.18.3.exe
  • Magic Video Converter 8 0 2 18.exe
  • McAfee Total Protection 2010.exe
  • Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
  • Motorola, nokia, ericsson mobil phone tools.exe
  • Mp3 Splitter and Joiner Pro v3.48.exe
  • Myspace theme collection.exe
  • Nero 9 9.2.6.0 keygen.exe
  • Norton Anti-Virus 2010 Enterprise Crack.exe
  • Norton Internet Security 2010 crack.exe
  • PDF password remover (works with all acrobat reader).exe
  • PDF to Word Converter 3.0.exe
  • PDF Unlocker v2.0.3.exe
  • PDF-XChange Pro.exe
  • Power ISO v4.2 + keygen axxo.exe
  • Rapidshare Auto Downloader 3.8.exe
  • RapidShare Killer AIO 2010.exe
  • Sophos antivirus updater bypass.exe
  • Super Utilities Pro 2009 11.0.exe
  • Total Commander7 license+keygen.exe
  • Trojan Killer v2.9.4173.exe
  • Tuneup Ultilities 2010.exe
  • Twitter FriendAdder 2.1.1.exe
  • VmWare 7.0 keygen.exe
  • VmWare keygen.exe
  • Winamp.Pro.v7.33.PowerPack.Portable+installer.exe
  • Windows 2008 Enterprise Server VMWare Virtual Machine.exe
  • Windows 7 Ultimate keygen.exe
  • Windows XP PRO Corp SP3 valid-key generator.exe
  • Windows2008 keygen and activator.exe
  • WinRAR v3.x keygen RaZoR.exe
  • Youtube Music Downloader 1.0.exe
  • YouTubeGet 5.4.exe

・以下のフォルダが作成されます。

  • %AppData%\SystemProc
  • %ProgramFiles%\Mozilla Firefox
  • %ProgramFiles%\Mozilla Firefox\extensions
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome
  • %ProgramFiles%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content

注:

%AppData%はアプリケーション固有のデータの一般的なレジストリとして使われるファイルシステムフォルダを指す変数です。一般的なパスはC:\Documents and Settings\[ユーザ名]\Application Dataです。

%ProgramFiles%はProgram Filesフォルダを指す変数です。一般的なパスはC:\Program Filesです。

%System%はシステムフォルダを指す変数です。デフォルトではC:\Windows\System(Windows 95/98/Me)、C:\Winnt\System32(Windows NT/2000)、C:\Windows\System32(Windows XP)になります。

・乗っ取ったマシンのセキュリティ設定を下げるため、以下のサービスがW32/Routrobot.wormによって停止されます。

  • Error Reporting Service - ERSvc
  • セキュリティセンター - wscsvc
  • McAfee Antivirus - McShield

・以下のレジストリの改変が行われます。

  • HKEY_CURRENT_USER\Software\Microsoft\japplet2
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\TaskManager
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\japplet2
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
  • HKEY_CURRENT_USER\Software\Microsoft\Visual Basic
  • HKEY_CURRENT_USER\Software\Microsoft\Visual Basic\6.0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
  • HKEY_KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

・システム起動時に動作するため、以下のレジストリ項目を作成します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "SunJavaUpdaterv13"
    データ: C:\WINDOWS\System32\javaupdater.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run "RTHDBPL"
    データ: C:\Documents and Settings\Administrator\Application Data\SystemProc\lsass.exe

・以下のレジストリ項目により、ファイアウォールアクセスが改変されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List "C:\WINDOWS\System32\javaupdater.exe"
    データ: C:\WINDOWS\System32\javaupdater.exe:*:Enabled:Explorer
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List "C:\WINDOWS\system32\javaupdater.exe"
    データ: C:\WINDOWS\system32\javaupdater.exe:*:Enabled:Explorer

・以下のサーバに接続しようとします。

  • controllrx.com
  • lnub.pbz
  • gevpbzerfrnepu.pbz
  • gmx.de
  • t-online.de
  • andlabs.org
  • smtp.secureserver.net
  • phreaker.net
  • mailstore1.secureserver.net
  • pacbell.netw\302\266hb
  • scintilla.org
  • mf.surf.net
  • kommunikation.t-online.de
  • gto.net.om
  • cwi.nl
  • python.org
  • iquest.net

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記の動作およびレジストリ項目が存在します。
  • 上記のファイルが存在します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る