WORM_AUTORUN.FKI
Windows 2000, XP, Server 2003
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ワームは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\Powerfile.exe
- %Application Data%\Powerfile.exe.exe
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Explorer = %Application Data%\PowerFile.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Firewall = %Application Data%\PowerFile.exe
他のシステム変更
ワームは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Application Data%\\PowerFile.exe = %Application Data%\PowerFile.exe:*:Enabled:Messenger
感染活動
ワームは、ピアツーピア(P2P)ネットワーク上で使用される以下のフォルダ内に自身のコピーを作成します。
- n Local\Datos de programa\Ares\My Shared Folder\
- programfiles\eMule\Incoming
ワームは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。
- My Pictures.exe
- My Videos.exe
- XXX Files.exe
- setup.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[autorun]
open=setup.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Abrir carpeta para ver archivos
shell\open=Abrir
shell\open\command=setup.exe
shell\open\default=1
作成活動
ワームは、以下のファイルを作成します。
- %User Temp%\archivo1.exe
- %User Temp%\{random}_appcompat.txt
- %User Temp%\{random}.dmp
(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)
HOSTSファイルの改変
ワームは、WindowsのHOSTSファイルに以下の文字列を追加します。
- 127.0.0.1 avp.com
- 127.0.0.1 ca.com
- 127.0.0.1 customer.symantec.com
- 127.0.0.1 dispatch.mcafee.com
- 127.0.0.1 download.mcafee.com
- 127.0.0.1 f-secure.com
- 127.0.0.1 kaspersky.com
- 127.0.0.1 kaspersky-labs.com
- 127.0.0.1 liveupdate.symantec.com
- 127.0.0.1 liveupdate.symantecliveupdate.com
- 127.0.0.1 mast.mcafee.com
- 127.0.0.1 mcafee.com
- 127.0.0.1 microsoft.com
- 127.0.0.1 my-etrust.com
- 127.0.0.1 nai.com
- 127.0.0.1 networkassociates.com
- 127.0.0.1 pandasoftware.com
- 127.0.0.1 rads.mcafee.com
- 127.0.0.1 secure.nai.com
- 127.0.0.1 securityresponse.symantec.com
- 127.0.0.1 sophos.com
- 127.0.0.1 symantec.com
- 127.0.0.1 trendmicro.com
- 127.0.0.1 updates.symantec.com
- 127.0.0.1 update.symantec.com
- 127.0.0.1 us.mcafee.com
- 127.0.0.1 viruslist.com
- 127.0.0.1 virustotal.com
- 127.0.0.1 www.avp.com
- 127.0.0.1 www.f-secure.com
- 127.0.0.1 www.grisoft.com
- 127.0.0.1 www.kaspersky.com
- 127.0.0.1 www.mcafee.com
- 127.0.0.1 www.microsoft.com
- 127.0.0.1 www.moneybookers.com
- 127.0.0.1 www.my-etrust.com
- 127.0.0.1 www.nai.com
- 127.0.0.1 www.networkassociates.com
- 127.0.0.1 www.pandasoftware.com
- 127.0.0.1 www.sophos.com
- 127.0.0.1 www.symantec.com
- 127.0.0.1 www.trendmicro.com
- 127.0.0.1 www.virustotal.com
- 127.0.0.1 u20.eset.com
- 127.0.0.1 u21.eset.com
- 127.0.0.1 u22.eset.com
- 127.0.0.1 u23.eset.com
- 127.0.0.1 u24.eset.com
- 127.0.0.1 89.202.157.135
- 127.0.0.1 89.202.157.136
- 127.0.0.1 89.202.157.137
- 127.0.0.1 89.202.157.138
- 127.0.0.1 89.202.157.139
- 127.0.0.1 u30.eset.com
- 127.0.0.1 u31.eset.com
- 127.0.0.1 u32.eset.com
- 127.0.0.1 u33.eset.com
- 127.0.0.1 u34.eset.com
- 127.0.0.1 u35.eset.com
- 127.0.0.1 u36.eset.com
- 127.0.0.1 u37.eset.com
- 127.0.0.1 u38.eset.com
- 127.0.0.1 u39.eset.com
- 127.0.0.1 u40.eset.com
- 127.0.0.1 u41.eset.com
- 127.0.0.1 u42.eset.com
- 127.0.0.1 u43.eset.com
- 127.0.0.1 u44.eset.com
- 127.0.0.1 u45.eset.com
- 127.0.0.1 u46.eset.com
- 127.0.0.1 u47.eset.com
- 127.0.0.1 u48.eset.com
- 127.0.0.1 u49.eset.com
その他
このワームのコードから、ワームは、以下の機能を備えています。
- It connects to the following IP address using port 83:
- 69.65.19.116
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Explorer=%Application Data%\PowerFile.exe
- Explorer=%Application Data%\PowerFile.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Firewall=%Application Data%\PowerFile.exe
- Firewall=%Application Data%\PowerFile.exe
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %Application Data%\PowerFile.exe=%Application Data%\PowerFile.exe:*:Enabled:Messenger
- %Application Data%\PowerFile.exe=%Application Data%\PowerFile.exe:*:Enabled:Messenger
手順 4
不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。
- 127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 pandasoftware.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 virustotal.com
127.0.0.1 www.avp.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.virustotal.com
127.0.0.1 u20.eset.com
127.0.0.1 u21.eset.com
127.0.0.1 u22.eset.com
127.0.0.1 u23.eset.com
127.0.0.1 u24.eset.com
127.0.0.1 89.202.157.135
127.0.0.1 89.202.157.136
127.0.0.1 89.202.157.137
127.0.0.1 89.202.157.138
127.0.0.1 89.202.157.139
127.0.0.1 u30.eset.com
127.0.0.1 u31.eset.com
127.0.0.1 u32.eset.com
127.0.0.1 u33.eset.com
127.0.0.1 u34.eset.com
127.0.0.1 u35.eset.com
127.0.0.1 u36.eset.com
127.0.0.1 u37.eset.com
127.0.0.1 u38.eset.com
127.0.0.1 u39.eset.com
127.0.0.1 u40.eset.com
127.0.0.1 u41.eset.com
127.0.0.1 u42.eset.com
127.0.0.1 u43.eset.com
127.0.0.1 u44.eset.com
127.0.0.1 u45.eset.com
127.0.0.1 u46.eset.com
127.0.0.1 u47.eset.com
127.0.0.1 u48.eset.com
127.0.0.1 u49.eset.com
手順 5
以下のファイルを検索し削除します。
%User Temp%\archivo1.exe
%User Temp%\{random}_appcompat.txt
%User Temp%\{random}.dmp
手順 6
「WORM_AUTORUN.FKI」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。
open=setup.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Abrir carpeta para ver archivos
shell\open=Abrir
shell\open\command=setup.exe
shell\open\default=1
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_AUTORUN.FKI」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください