Trend Micro Security

WORM_UTOTI.WJC

 解析者:   
 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: Worm
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要



マルウェアは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
マルウェアは、自身のコピーがWindows起動時に自動実行されるようレジストリ値を変更します。
マルウェアは、特定の感染活動を実行します。
マルウェアは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。
マルウェアは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、'AUTORUN.INF' を作成します。

  詳細

発見日 0001年1月1日



侵入方法


マルウェアは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。



自動実行方法


マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\Run
csrcs=%System%\csrcs.exe



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
csrcs=%System%\csrcs.exe


マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon
Shell=Explorer.exe csrcs.exe

             (註:このレジストリ値のデフォルトは、 Explorer.exe となります。)



作成活動


マルウェアは、作成したファイルの属性を以下に設定します。

  • Hidden

  • Read-Only

  • System



インストール


マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\\csrcs.exe



その他


マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • http://www.whatismyip.com/automation/n09230945.asp


マルウェアは、以下の感染活動を実行します。

  • This worm also connects to the website, http://{BLOCKED}c.gaiguo.com/?self to check the country location of the affected machine:



他のシステム変更


マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\DRM\\amty
@= 


マルウェアは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden=2

             (註:このレジストリ値のデフォルトは、 1 となります。)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SuperHidden=0

             (註:このレジストリ値のデフォルトは、 1 となります。)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden=0

             (註:このレジストリ値のデフォルトは、 1 となります。)


上記INFファイルには、以下の文字列が含まれています。

  • ;{random}
    ;{random}
    ;{random}
    ;{random}
    ;{random}
    ;{random}
    Icon=%sYsteM%\\sheLL32.dLL,7
    OpEn={Random File Name}.exE
    SHeLL\OPeN\cOMmaND={Random File Name}.exE
    Shell\oPen\DEFauLT=1
    USEAUtoplay=1
    [AUToRuN]
    aCTioN=@{Random File Name}.exe
    acTION=View files


マルウェアは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。


マルウェアは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、'AUTORUN.INF' を作成します。

  対応方法

対応検索エンジン: 8.900
VSAPI パターンファイル: 07.536.12
VSAPI パターンリリース日: 0536年7月12日
VSAPI パターンリリース日: 07.536.12


手順 1
Windows ME および XPユーザは、パソコンから不正プログラムもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2
Windowsをセーフモードで再起動します。
[ 詳細 ]


手順 3
このレジストリ値を削除します。ここでは、マルウェアにより追加されたレジストリ値を削除します。

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
    • csrcs = %System%\csrcs.exe
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    • csrcs = %System%\csrcs.exe

このマルウェアが追加したレジストリ値の削除

  1. 「レジストリエディタ」を起動します。
    [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、[OK]をクリックします。
    ※regedit は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
  2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
     HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>policies>Explorer>Run
  3. 右側のパネルで以下のレジストリ値を検索し、削除します。
    csrcs = %System%\csrcs.exe
  4. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>RunServices
  5. 右側のパネルで以下のレジストリ値を検索し、削除します。
    csrcs = %System%\csrcs.exe
  6. 「レジストリエディタ」を閉じます。

手順 4
このレジストリキーを削除します。 ここでは、マルウェアにより追加されたレジストリキーの削除をします。

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM
    • amty

このマルウェアが追加したレジストリキーの削除

  1. 「レジストリエディタ」を起動します。
    [スタート]-[ファイル名を指定して実行]を選択し、'regedit' と入力し、[OK]をクリックします。
    'regedit' は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
  2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>DRM
  3. 上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
    amty
  4. 「レジストリエディタ」を閉じます。

手順 5
変更されたレジストリ値を修正します。ここでは、マルウェアにより変更されたレジストリ値を修正します。

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon
    • From: Shell = Explorer.exe csrcs.exe
      To: Explorer.exe
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: Hidden = 2
      To: 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: SuperHidden = 0
      To: 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: ShowSuperHidden = 0
      To: 1

このマルウェアが変更したレジストリ値の修正

  1. 「レジストリエディタ」を起動します。
    [スタート]-[ファイル名を指定して実行]を選択し、'regedit' と入力し、[OK]をクリックします。
    'regedit' は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
  2. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>Current Version>Winlogon
  3. 右側のパネルで以下のレジストリ値を検索します。
    Shell = Explorer.exe csrcs.exe
  4. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
    Explorer.exe
  5. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>Current Version>Winlogon
  6. 右側のパネルで以下のレジストリ値を検索します。
    HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced
  7. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
    Hidden = 21
  8. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>Current Version>Winlogon
  9. 右側のパネルで以下のレジストリ値を検索します。
    HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced
  10. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
    SuperHidden = 01
  11. レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>Current Version>Winlogon
  12. 右側のパネルで以下のレジストリ値を検索します。
    HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced
  13. [値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
    ShowSuperHidden = 01
  14. レジストリエディタを閉じます。

手順 6
「WORM_UTOTI.WJC」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。 This solution provides a basic guide in removing unwanted AUTORUN.INF files/content that are added by malware.
;{random}
[AUToRuN]
;{random}
USEAUtoplay=1
;{random}
Icon=%sYsteM%sheLL32.dLL,7
;{random}
acTION=View files
;{random}
OpEn={Random File Name}.exE
ShelloPenDEFauLT=1
;{random}
SHeLLOPeNcOMmaND={Random File Name}.exE
aCTioN=@{Random File Name}.exe

作成された AUTORUN.INF の検索および削除

  1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
    註:Windowsのバージョンによって異なります。
  2. [ファイル名のすべてまたは一部]に以下を入力してください。
    AUTORUN.INF
  3. [探す場所]の一覧から該当ドライブを選択し、[検索]を押します。
  4. 検索が終了したら、ファイルを選択し、メモ帳などテキストエディタを用いて開いてください。
  5. 以下の文字列が存在するか確認してください。
    ;{random}
    [AUToRuN]
    ;{random}
    USEAUtoplay=1
    ;{random}
    Icon=%sYsteM%sheLL32.dLL,7
    ;{random}
    acTION=View files
    ;{random}
    OpEn={Random File Name}.exE
    ShelloPenDEFauLT=1
    ;{random}
    SHeLLOPeNcOMmaND={Random File Name}.exE
    aCTioN=@{Random File Name}.exe
  6. この文字列が存在する場合はファイルを削除してください。
  7. 他のリムーバブルドライブ内の残りの AUTORUN.INF についても、この手順3.)から6.)を繰り返してください。
  8. [検索結果]画面を閉じてください。

手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_UTOTI.WJC」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。ただし、念のため、隔離されたファイルを削除してください。詳しくは、こちらをご確認下さい。

ご利用はいかがでしたか? アンケートにご協力ください