PE_DOWN
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: ファイル感染型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。
ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
詳細
侵入方法
ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。
他のシステム変更
ウイルスは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{application name}
Debugger = "ntsd"
ウイルスは、以下のレジストリキーを削除します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AppMgmt
<アプリケーション名>には以下のいずれかが該当します。
- 360SoftMgrSvc.exe
- 360hotfix.exe
- 360rp.exe
- 360rpt.exe
- 360safe.exe
- 360safebox.exe
- 360sd.exe
- 360se.exe
- 360speedld.exe
- 360tray.exe
- AvastUI.exe
- CCenter.exe
- FilMsg.exe
- KVMonXP.exe
- KVMonXP.kxp
- KVSrvXP.exe
- MPMon.exe
- MPSVC.exe
- MPSVC1.exe
- MPSVC2.exe
- McNASvc.exe
- McProxy.exe
- McSACore.exe
- Mcagent.exe
- Mcods.exe
- Mcshield.exe
- MpfSrv.exe
- RavMonD.exe
- RavTask.exe
- RsAgent.exe
- RsTray.exe
- ScanFrm.exe
- SfCtlCom.exe
- SpIDerMl.exe
- TMBMSRV.exe
- TmProxy.exe
- Twister.exe
- UfSeAgnt.exe
- afwServ.exe
- ast.exe
- avcenter.exe
- avfwsvc.exe
- avgnt.exe
- avguard.exe
- avmailc.exe
- avp.exe
- avshadow.exe
- avwebgrd.exe
- bdagent.exe
- ccSvcHst.exe
- dwengine.exe
- egui.exe
- ekrn.exe
- kavstart.exe
- kissvc.exe
- kmailmon.exe
- kpfw32.exe
- kpfwsvc.exe
- kpopserver.exe
- krnl360svc.exe
- ksmgui.exe
- ksmsvc.exe
- kswebshield.exe
- kwatch.exe
- kwstray.exe
- kxedefend.exe
- kxesapp.exe
- kxescore.exe
- kxeserv.exe
- kxetray.exe
- livesrv.exe
- mcmscsvc.exe
- mcsysmon.exe
- mcvsshld.exe
- msksrver.exe
- qutmserv.exe
- rsnetsvr.exe
- safeboxTray.exe
- sched.exe
- seccenter.exe
- spideragent.exe
- spidernt.exe
- spiderui.exe
- vsserv.exe
- zhudongfangyu.exe
ファイル感染
ウイルスは、以下の形式のファイルに感染します。
- EXE
感染活動
ウイルスは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- recycle.{645FF040-5081-101B-9F08-00AA002F954E}
ウイルスは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {removable drive letter}:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\{random file name}.exe
ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
その他
ウイルスは、以下のWebサイトにアクセスして不正なファイルをダウンロードします。
- http://{BLOCKED}.{BLOCKED}.85.199/cl/80.exe
- http://{BLOCKED}.{BLOCKED}.113.108/msdownload/update/v5/redir/wuredirt.rar
- http://{BLOCKED}t.mvps.org/resources/tools/getpublicip.shtml
- http://{BLOCKED}{BLOCKED}.85.205/msdownload/update/v5/redir/wuredirt.rar
対応方法
トレンドマイクロのお客様:
最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。
インターネットをご利用の皆様:
- トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
- 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください