ウイルス情報

ウイルス名 危険度

W32/Renocide

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
5455
対応定義ファイル
(現在必要とされるバージョン)
6366 (現在7659)
対応エンジン 5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Kaspersky: Worm.Win32.Autoit.xl Microsoft: Worm:AutoIt/Renocide.gen!A Symantec : W32.HarakitWin32/Packed.Autoit.Gen (NOD32)Worm:AutoIt/Renocide.gen!A (Microsoft)
情報掲載日 2010/09/13
発見日(米国日付) 2008/12/05
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W32/Renocideは「autorun.inf」を使ってリムーバブルメディアを介して拡散し、さらにマルウェアをダウンロードするワームです。

----- 2010年9月10日更新 -----

ファイル情報

  • MD5 : 33C82790BC08AA7EDC1CDE5C74F97037
  • SHA : 96A98E687ECD4E7A6A0F02CB59D5C18016B4B5BE

TOPへ戻る

ウイルスの特徴

----- 2010年9月10日更新 -----

・W32/RenocideはAutoITスクリプトで作成され、リムーバブルドライブ、ネットワーク共有を介して拡散するワームです。バックドア機能も組み込まれています。

・実行時、以下の場所に自身をコピーします。

  • %WinDir%\system32\alokium.exe
  • %WinDir%\system32\csrcs.exe
  • %WinDir%\system32\cftmem.exe
  • %WinDir%\system32\cftm.exe

・また、以下のファイルをシステムにドロップ(作成)します。

  • %WinDir%\system32\autorun.inf

・また、%TEMP%フォルダに「suicide.bat」ファイルを作成し、その後、元のW32/Renocideのファイルを削除します。

・さらに、以下のWebサイトに接続して、ターゲットマシンのIPアドレスを入手します。

  • http://checkip.dyndns.com/
  • http://www.whatismyip.com
  • http://geoloc.daiguo.com

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\ Software\Microsoft\DRM\amty

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
    "csrcs=%WinDir%\system32\csrcs.exe"

・上記のレジストリ項目により、Windowsが起動するたびにW32/Renocideが実行されるようにします。

・以下のレジストリ要素が変更されます。

  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
    "Hidden="2"
  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
    "SuperHidden"="0"
  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\]
    "CheckedValue"="1"

・上記のレジストリ項目により、乗っ取ったユーザが隠しファイル、フォルダを閲覧できないようにします。

・以下のプロセスを終了する可能性があります。

  • net.exe
  • TeaTimer.exe
  • cmd.exe

・また、以下のIRCコマンドを使って、バックドア活動を仕掛ける可能性があります。

  • "JOIN"
  • "NICK"
  • "PING"
  • "PONG"

[%WinDir%はデフォルトのWindowsフォルダ(例:C:\WINNT、C:\WINDOWSなど)]

------------------------------

・W32/Renocideは「autorun.inf」を使ってリムーバブルメディアを介して拡散し、さらにマルウェアをダウンロードするワームです。

・実行時、以下の場所に自身をコピーします。

  • %WinDir%\system32\csrcs.exe

・また、以下のファイルを作成します。

  • %WinDir%\system32\autorun.inf

・さらに、whatismyip.comに接続して、ターゲットマシンのIPアドレスを入手します。

・システムに接続されているリムーバブルメディアに自身をコピーし、「autorun.inf」を作成して、別のコンピュータに接続されたときに実行されるようにします。

・その後さまざまなWebサイトに接続し、さらなるマルウェアファイルをダウンロードします。

・以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\Config000\Settings
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty
  • HKEY_LOCAL_MACHINE\SOFTWARE\xcn

・以下のレジストリキーが削除されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

・ペイロードの一部として、以下のレジストリの値を作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\Config000\Settings "exc"
  • HKEY_LOCAL_MACHINE\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\Config000\Settings "exc_num"
  • HKEY_LOCAL_MACHINE\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\Config000\Settings "media_network"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "dreg"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "eggol"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "exp1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "fix"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "ilop"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "regexp"
  • HKEY_LOCAL_MACHINE\SOFTWARE\xcn "reg"
  • HKEY_LOCAL_MACHINE\SOFTWARE\xcn "unreg"

・以下のレジストリキーを削除します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoDriveTypeAutoRun"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum "{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system "dontdisplaylastusername"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system "legalnoticecaption"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system "legalnoticetext"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system "shutdownwithoutlogon"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system "undockwithoutlogon"

・以下のレジストリの値が改変されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Hidden"
改変前のデータ: 01, 00, 00, 00 改変後のデータ: 02, 00, 00, 00
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell"
改変前のデータ: Explorer.exe 改変後のデータ: Explorer.exe csrcs.exe

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルおよびレジストリエントリが存在します。
  • 追加ファイルのダウンロードによるネットワーク活動が見られます。

TOPへ戻る

感染方法

  • W32/Renocideはリムーバブルメディアに自身と「autorun.inf」をコピーして拡散します。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る