製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:R
ウイルス情報
ウイルス名危険度
W32/Renocide.c
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		5765
対応定義ファイル
(現在必要とされるバージョン)		5765 (現在7077)
対応エンジン5.3.00以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名Renocide-A(Sophos)
Trojan.Autoit.ITN(VBA32)
Trojan.Win32.Generic!BT(Sunbelt)
Trojan:Win32/Meredrop(Microsoft)
Win32.HLLW.Autoruner.7709(DrWeb)
情報掲載日2009/10/13
発見日(米国日付)2009/10/08
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/15ZeroAccess!5...
05/15VBS/LoveLett...
05/15RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7077
 エンジン:5.4.00
 
ウイルス検索
 


概要TOPに戻る

・W32/Renocide.cはシステムとアクセス可能なディスクボリュームに自身をコピーするワームです。さらに、ボリュームのルートにAutorun.infファイルを作成し、次にボリュームが他のシステムにマウントされたときに実行されるようにします。

ウイルスの特徴TOPに戻る

・W32/Renocide.cが実行されると、システムと接続されたリムーバブルドライブに自身とautorun.infファイルをコピーします。コピー後、ソースファイルを削除します。また、さまざまなIPに接続し、さらにマルウェアをダウンロードします。

システムの改変

・以下は一般的なパス変数の既定値です。(異なる場合もありますが、一般的には以下のとおりです。) %WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)
%SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME/XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000)
%UserProfile% = C:\Documents and settings \Administrator

・以下の値がWindowsのレジストリに追加されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "dreg"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "eggol"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "exp1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "fix"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "hghghghgxD"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "hgSDhghgxD"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "ilop"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty "regexp"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run "csrcs"
データ: C:\WINDOWS\system32\csrcs.exe (これにより、csrcs.exeがシステム起動時にロードされます)

・以下のレジストリ要素が変更されます。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Hidden"]
改変前のデータ: 01, 00, 00, 00
改変後のデータ: 02, 00, 00, 00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "ShowSuperHidden"]
改変前のデータ: 01, 00, 00, 00
改変後のデータ: 00, 00, 00, 00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell"]
改変前のデータ: Explorer.exe
改変後のデータ: Explorer.exe csrcs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections "SavedLegacySettings"]

・以下のファイルがシステムに追加されます。

注:ファイル名はシステムごとに異なる可能性があります。

%WINDIR%\system32\csrcs.exe
%WINDIR%\system32\ autorun.inf
F:\abc.exe
F:\autorun.inf

・F:\は接続されたリムーバブルドライブのドライブ文字です。

・さらに、whatismyip.comに接続して、ターゲットマシンのIPアドレスを入手します。システムに接続されているリムーバブルメディアに自身をコピーし、「autorun.inf」を作成して、別のコンピュータに接続されたときに実行されるようにします。

・その後、さまざまなWebサイトに接続し、システムプロセスであるnet.exe、cmd.exeを使って、さらにマルウェアをダウンロードします。

Webサイト: pimpumpa[].orz.h[], IP: 204.12.2[]2.14[]
その他のIP: 122.167.119.[], 192.168.1.[]など

・[]は隠し文字と数字を表しています。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のネットワーク活動、ファイルおよびレジストリ項目が存在します。

感染方法TOPへ戻る

・W32/Renocide.cはリムーバブルドライブに感染して拡散します。また、悪意のあるWebページを訪問することによって(リンクをクリック、またはユーザに通知せずにユーザのシステムにワームをインストールするスクリプトをホストしているWebサイトによって)インストールされる場合もあります。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足