解析者: Christopher Daniel So   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ファイル感染型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

  詳細

ファイルサイズ 不定
タイプ EXE
メモリ常駐 はい

侵入方法

ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。

他のシステム変更

ウイルスは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{application name}
Debugger = "ntsd"

ウイルスは、以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AppMgmt

<アプリケーション名>には以下のいずれかが該当します。

  • 360SoftMgrSvc.exe
  • 360hotfix.exe
  • 360rp.exe
  • 360rpt.exe
  • 360safe.exe
  • 360safebox.exe
  • 360sd.exe
  • 360se.exe
  • 360speedld.exe
  • 360tray.exe
  • AvastUI.exe
  • CCenter.exe
  • FilMsg.exe
  • KVMonXP.exe
  • KVMonXP.kxp
  • KVSrvXP.exe
  • MPMon.exe
  • MPSVC.exe
  • MPSVC1.exe
  • MPSVC2.exe
  • McNASvc.exe
  • McProxy.exe
  • McSACore.exe
  • Mcagent.exe
  • Mcods.exe
  • Mcshield.exe
  • MpfSrv.exe
  • RavMonD.exe
  • RavTask.exe
  • RsAgent.exe
  • RsTray.exe
  • ScanFrm.exe
  • SfCtlCom.exe
  • SpIDerMl.exe
  • TMBMSRV.exe
  • TmProxy.exe
  • Twister.exe
  • UfSeAgnt.exe
  • afwServ.exe
  • ast.exe
  • avcenter.exe
  • avfwsvc.exe
  • avgnt.exe
  • avguard.exe
  • avmailc.exe
  • avp.exe
  • avshadow.exe
  • avwebgrd.exe
  • bdagent.exe
  • ccSvcHst.exe
  • dwengine.exe
  • egui.exe
  • ekrn.exe
  • kavstart.exe
  • kissvc.exe
  • kmailmon.exe
  • kpfw32.exe
  • kpfwsvc.exe
  • kpopserver.exe
  • krnl360svc.exe
  • ksmgui.exe
  • ksmsvc.exe
  • kswebshield.exe
  • kwatch.exe
  • kwstray.exe
  • kxedefend.exe
  • kxesapp.exe
  • kxescore.exe
  • kxeserv.exe
  • kxetray.exe
  • livesrv.exe
  • mcmscsvc.exe
  • mcsysmon.exe
  • mcvsshld.exe
  • msksrver.exe
  • qutmserv.exe
  • rsnetsvr.exe
  • safeboxTray.exe
  • sched.exe
  • seccenter.exe
  • spideragent.exe
  • spidernt.exe
  • spiderui.exe
  • vsserv.exe
  • zhudongfangyu.exe

ファイル感染

ウイルスは、以下の形式のファイルに感染します。

  • EXE

感染活動

ウイルスは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • recycle.{645FF040-5081-101B-9F08-00AA002F954E}

ウイルスは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {removable drive letter}:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\{random file name}.exe

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

その他

ウイルスは、以下のWebサイトにアクセスして不正なファイルをダウンロードします。

  • http://{BLOCKED}.{BLOCKED}.85.199/cl/80.exe
  • http://{BLOCKED}.{BLOCKED}.113.108/msdownload/update/v5/redir/wuredirt.rar
  • http://{BLOCKED}t.mvps.org/resources/tools/getpublicip.shtml
  • http://{BLOCKED}{BLOCKED}.85.205/msdownload/update/v5/redir/wuredirt.rar

  対応方法

対応検索エンジン: 9.200

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

    1. トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
    2. 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください