MAL_OTORUN5

2013年10月17日

別名:

Backdoor.Graybird(Symantec), Mal/Behav-058(Sophos), Backdoor.Win32.Hupigon.bhes(Kaspersky), BDS/Hupigon.Gen(Avira), W32/Downloader.C.gen!Eldorado (generic(F-Prot), W32/Autorun.worm.af.gen(McAfee)

プラットフォーム:

Windows 2000, XP, Server 2003

危険度:

感染確認数:

マルウェアタイプ: その他
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

この検出名は、類似した動作や特徴から不審なファイルを検知するヒューリスティック検出に分類され、特に以下の亜種を検出するための検出名です。

「WORM_AUTORUN」
「OTORUN」

上記のファイルは、通常、リムーバブルドライブを介してコンピュータに侵入し、感染活動を行うため、コンピュータを保護するには、リムーバブルドライブの保護が重要となります。リムーバブルドライブ内でのマルウェアの実行および感染を妨げるためにも以下の関連記事を参照してください。

「緊急　レポート！今までの対策が効かない！？～進化したUSBメモリウイルスが出現～（インターネット・セキュリティ・ナレッジ特集コンテンツ）」：USBワームの仕組みと対策について詳しく解説（初心者・中級者向き）

「Trend Micro Security Blog　依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を」：USBワームの仕組みと対策について詳しく解説（上級者向き）

関連記事（外部）

Windows で "Autorun レジストリキーの無効化" の強制を修正する方法（マイクロソフト）：自動実行機能を無効にするための方法（中級者・上級者向き）

セキュリティアドバイザリ (967940)：Windows Autorun (自動実行) 用の更新プログラム（マイクロソフト）：自動実行機能を無効にするための修正プログラム（中級者・上級者向き）

このファイルは、"AUTORUN.INF" を利用しているため、実行に際してはWindowsの自動実行機能（もしくは自動再生機能）に依存しています。この機能により、CDやリムーバブルドライブ等のメディアが挿入または接続されただけで、そのメディア内のファイルの自動実行が可能になるからです。以下の方法でこの種のファイルの拡大を防ぐことができます。

Windowsの自動実行機能を無効にします。この無効化は、Windows自動実行に関連したレジストリ値を変更することにより可能です。レジストリ値の変更方法はこちらをご覧ください。

"Autorun.inf" ファイルがマルウェアとして発見された場合は、こちらをご覧ください。

対応方法

対応検索エンジン: 9.200

フォルダ "AUTORUN.INF" を作成し、Windowsの自動実行機能を無効にする方法：

以下の手順は、フォルダ "AUTORUN.INF" を作成し、Windowsの自動実行機能を無効にするバッチファイル（拡張子BAT）を作成するためのものです。

メモ帳などのテキストエディタを開きます。
[スタート]-[ファイル名を指定して実行]を選択し、notepad と入力し、[OK]をクリックします。
※notepad は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
以下の文字列をコピーしてください。
<@echo off :: SET_NO_DRIVE_OTORUN reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0x0ff /f :: GET_DRIVES for /f "tokens=1 delims=:" %%j in ('reg query hklm\system\mounteddevices ^| findstr \DosDevices\') do ( echo %%j >> drives ) :: REMOVE_\DosDevices\_PREFIX for /f "tokens=3 delims=\" %%j in (drives) do ( echo %%j >> drives.txt ) del /q /f drives > nul :: REMOVE_SPACE for /f "tokens=1 delims= " %%j in (drives.txt) do ( echo %%j: >> drives ) del /q /f drives.txt > nul :: CHECK_DRIVE_TYPE for /f %%j in (drives) do ( fsutil fsinfo drivetype %%j | findstr "Fixed " >> fdtype fsutil fsinfo drivetype %%j | findstr "Removable " >> frtype ) del /q /f drives > nul :: GET_FDRIVES for /f "tokens=1* delims= " %%j in (fdtype frtype) do ( echo %%j >> dtype ) del /q /f fdtype > nul del /q /f frtype > nul :: REMOVE_SPACE1 for /f "tokens=1 delims= " %%j in (dtype) do ( echo %%j >> drives ) del /q /f dtype > nul :: DEL_DRIVE_A_FROM_LIST sort drives >> sort type sort | findstr "A" > nul if errorlevel 0 for /f "tokens=1 skip=1" %%j in (sort) do ( echo %%j >> sorted ) del /q /f drives > nul del /q /f sort > nul :: CREATE_OTORUN_FOLDER for /f %%j in (sorted) do ( md %%j\<i>AUTORUN.INF</i> attrib +s +h +r /d /s %%j\<i>AUTORUN.INF</i> ) del /q /f sorted > nul echo Press any key to close this window.. pause > nul>
このファイルを "DISABLE.BAT" のファイル名でデスクトップに保存してください。
デスクトップに保存したこのファイルを開きます。

註：

これは、事前予防（Generic）検出パターンにて検出されるファイルです。本検出の詳細については、以下サポートページに記載されています。

事前予防（Generic）検出パターンにて検出された疑わしきファイル（「Possible_」、「CRYP_」または「Mal_」）への対応方法について

また、こちらのサポートページもご参照ください。

Virus Support Web (ウイルスサポートウェブ)

ご利用はいかがでしたか？　アンケートにご協力ください