製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:R
ウイルス情報
ウイルス名危険度
W32/Renocide
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
5455
対応定義ファイル
(現在必要とされるバージョン)
6366 (現在7549)
対応エンジン5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky: Worm.Win32.Autoit.xl Microsoft: Worm:AutoIt/Renocide.gen!A Symantec : W32.HarakitWin32/Packed.Autoit.Gen (NOD32)Worm:AutoIt/Renocide.gen!A (Microsoft)
情報掲載日2010/09/13
発見日(米国日付)2008/12/05
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/01Downloader-F...
09/01RDN/Download...
09/01RDN/Download...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7549
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Renocideは「autorun.inf」を使ってリムーバブルメディアを介して拡散し、さらにマルウェアをダウンロードするワームです。

----- 2010年9月10日更新 -----

ファイル情報

  • MD5 : 33C82790BC08AA7EDC1CDE5C74F97037
  • SHA : 96A98E687ECD4E7A6A0F02CB59D5C18016B4B5BE

ウイルスの特徴TOPに戻る

----- 2010年9月10日更新 -----

・W32/RenocideはAutoITスクリプトで作成され、リムーバブルドライブ、ネットワーク共有を介して拡散するワームです。バックドア機能も組み込まれています。

・実行時、以下の場所に自身をコピーします。

  • %WinDir%\system32\alokium.exe
  • %WinDir%\system32\csrcs.exe
  • %WinDir%\system32\cftmem.exe
  • %WinDir%\system32\cftm.exe

・また、以下のファイルをシステムにドロップ(作成)します。

  • %WinDir%\system32\autorun.inf

・また、%TEMP%フォルダに「suicide.bat」ファイルを作成し、その後、元のW32/Renocideのファイルを削除します。

・さらに、以下のWebサイトに接続して、ターゲットマシンのIPアドレスを入手します。

  • http://checkip.dyndns.com/
  • http://www.whatismyip.com
  • http://geoloc.daiguo.com

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\ Software\Microsoft\DRM\amty

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
    "csrcs=%WinDir%\system32\csrcs.exe"

・上記のレジストリ項目により、Windowsが起動するたびにW32/Renocideが実行されるようにします。

・以下のレジストリ要素が変更されます。

  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
    "Hidden="2"
  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
    "SuperHidden"="0"
  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\]
    "CheckedValue"="1"

・上記のレジストリ項目により、乗っ取ったユーザが隠しファイル、フォルダを閲覧できないようにします。

・以下のプロセスを終了する可能性があります。

  • net.exe
  • TeaTimer.exe
  • cmd.exe

・また、以下のIRCコマンドを使って、バックドア活動を仕掛ける可能性があります。

  • "JOIN"
  • "NICK"
  • "PING"
  • "PONG"

[%WinDir%はデフォルトのWindowsフォルダ(例:C:\WINNT、C:\WINDOWSなど)]

------------------------------

・W32/Renocideは「autorun.inf」を使ってリムーバブルメディアを介して拡散し、さらにマルウェアをダウンロードするワームです。

・実行時、以下の場所に自身をコピーします。

  • %WinDir%\system32\csrcs.exe

・また、以下のファイルを作成します。

  • %WinDir%\system32\autorun.inf

・さらに、whatismyip.comに接続して、ターゲットマシンのIPアドレスを入手します。

・システムに接続されているリムーバブルメディアに自身をコピーし、「autorun.inf」を作成して、別のコンピュータに接続されたときに実行されるようにします。

・その後さまざまなWebサイトに接続し、さらなるマルウェアファイルをダウンロードします。

・以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\Config000\Settings
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty
  • HKEY_LOCAL_MACHINE\SOFTWARE\xcn

・以下のレジストリキーが削除されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

・ペイロードの一部として、以下のレジストリの値を作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\Config000\Settings "exc"
  • HKEY_LOCAL_MACHINE\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\Config000\Settings "exc_num"
  • HKEY_LOCAL_MACHINE\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\Config000\Settings "media_network"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "dreg"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "eggol"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "exp1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "fix"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "ilop"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "regexp"
  • HKEY_LOCAL_MACHINE\SOFTWARE\xcn "reg"
  • HKEY_LOCAL_MACHINE\SOFTWARE\xcn "unreg"

・以下のレジストリキーを削除します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoDriveTypeAutoRun"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum "{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system "dontdisplaylastusername"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system "legalnoticecaption"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system "legalnoticetext"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system "shutdownwithoutlogon"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system "undockwithoutlogon"

・以下のレジストリの値が改変されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Hidden"
改変前のデータ: 01, 00, 00, 00 改変後のデータ: 02, 00, 00, 00
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell"
改変前のデータ: Explorer.exe 改変後のデータ: Explorer.exe csrcs.exe

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリエントリが存在します。
  • 追加ファイルのダウンロードによるネットワーク活動が見られます。

感染方法TOPへ戻る
  • W32/Renocideはリムーバブルメディアに自身と「autorun.inf」をコピーして拡散します。

駆除方法TOPへ戻る
■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足