Trend Micro Security

WORM_AUTORUN.EIK

2011年2月23日
 解析者: Karl Dominguez   
 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 Propagates via removable drives

マルウェアは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 マルウェアは、リモートサイトから他の不正プログラムもしくはアドウェア等にダウンロードされ、コンピュータに侵入します。 マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、既定のWindowsフォルダのアイコンを用いて、ファイルを開くように促します。ファイルをダブルクリックすることで、このマルウェアは実行されます。

マルウェアは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

  詳細

ファイルサイズ 1,393,062 bytes
タイプ PE
メモリ常駐 はい
発見日 2009年5月1日
ペイロード Connects to URLs/Ips

侵入方法

マルウェアは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

マルウェアは、リモートサイトから他の不正プログラムもしくはアドウェア等にダウンロードされ、コンピュータに侵入します。

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\{random folder name}\{random characters}.exe

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、""C:\Windows\System""、Windows NT および 2000 の場合、""C:\WinNT\System32""、Windows XP および Server 2003 の場合、""C:\Windows\System32"" です。)

マルウェアは、以下のコンポーネントファイルを作成します。

  • %System%\{random folder name}\krnln.fnr - detected as WORM_AUTORUN.EIK
  • %System%\{random folder name}\eAPI.fne - detected as WORM_AUTORUN.EIK
  • %System%\{random folder name}\dp1.fne - detected as WORM_AUTORUN.EIK
  • %System%\{random folder name}\shell.fne - detected as WORM_AUTORUN.EIK
  • %System%\{random folder name}\cnvpe.fne - detected as WORM_AUTORUN.EIK
  • %System%\{random folder name}\com.run - detected as WORM_AUTORUN.EIK
  • %System%\{random folder name}\internet.fne - detected as WORM_AUTORUN.EIK
  • %System%\{random folder name}\RegEx.fnr - detected as WORM_AUTORUN.EIK
  • %System%\{random folder name}\spec.fne - detected as WORM_AUTORUN.EIK
  • %System%\{random folder name}\{random characters}.inf - non-malicious
  • %System%\{random folder name}\{random characters}.txt - non-malicious
  • %User Temp%\E_N4\krnln.fnr - detected as WORM_AUTORUN.EIK
  • %User Temp%\E_N4\eAPI.fne - detected as WORM_AUTORUN.EIK
  • %User Temp%\E_N4\dp1.fne - detected as WORM_AUTORUN.EIK
  • %User Temp%\E_N4\shell.fne - detected as WORM_AUTORUN.EIK
  • %User Temp%\E_N4\cnvpe.fne - detected as WORM_AUTORUN.EIK

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、""C:\Windows\System""、Windows NT および 2000 の場合、""C:\WinNT\System32""、Windows XP および Server 2003 の場合、""C:\Windows\System32"" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)

マルウェアは、以下のフォルダを作成します。

  • %System%\{random folder name}
  • %User Temp%\E_N4

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、""C:\Windows\System""、Windows NT および 2000 の場合、""C:\WinNT\System32""、Windows XP および Server 2003 の場合、""C:\Windows\System32"" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)

マルウェアは、デフォルトのWindowsフォルダのアイコンを用いて、ファイルを開くように促します。ファイルをダブルクリックすることで、このマルウェアは実行されます。

    自動実行方法

    マルウェアは、%User Startup%フォルダ内に自身のコピーに誘導する以下のショートカットを作成します。これにより、自身のコピーがWindows起動時に自動実行されます。

    • {malware file name}.lnk

    感染活動

    マルウェアは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

    • Recycled.exe

    マルウェアは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

    上記INFファイルには、以下の文字列が含まれています。

    [AutoRun]
    open=Recycled.exe
    shell\1={random characters}
    shell\1\Command=Recycled.exe
    shell\2\={random characters}
    shell\2\Command=Recycled.exe
    shellexecute=Recycled.exe

    アドウェア活動

    マルウェアは、以下のWebサイトにアクセスし、広告をダウンロードおよび表示します。

    • http://{BLOCKED}in.com/ul.htm

    その他

    マルウェアは、すべてのリムーバブルドライブ内に自身のコピーを作成することにより、感染活動をします。マルウェアは、これらのコピーのファイル名に、該当するリムーバブルドライブ内のフォルダ名を用います。マルウェアは、オリジナルのフォルダを隠しフォルダ属性に設定します。

    マルウェアは、情報収集する機能を備えていません。

      対応方法

    対応検索エンジン: 8.900
    初回 VSAPI パターンバージョン 6.104.06
    初回 VSAPI パターンリリース日 2009年5月1日

    手順 1

    Windows ME および XPユーザは、パソコンから不正プログラムもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

    手順 2

    「WORM_AUTORUN.EIK」で検出したファイル名を確認し、そのファイルを終了します。

    [ 詳細 ]

    1. Windows 98/MEの場合、検出ファイルが、Windows のタスクマネージャに表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
      セーフモードについては、こちらをご参照下さい。
    2. 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

    手順 3

    以下のファイルを検索し削除します。

    [ 詳細 ]
    コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  {malware file name}.lnk

    手順 4

    以下のフォルダを検索し削除します。

    [ 詳細 ]
    フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
    %System%\{malware path}
    %User Temp%\E_N4

    手順 5

    「WORM_AUTORUN.EIK」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。

    [ 詳細 ]
    [AutoRun]
    open=Recycled.exe
    shell\1={random characters}
    shell\1\Command=Recycled.exe
    shell\2\={random characters}
    shell\2\Command=Recycled.exe
    shellexecute=Recycled.exe

    手順 6

    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_AUTORUN.EIK」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。ただし、念のため、隔離されたファイルを削除してください。詳しくは、こちらをご確認下さい。


    ご利用はいかがでしたか? アンケートにご協力ください

    関連マルウェア