キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Autoit.NHY
公開日:2011年3月1日
このウイルスに関する危険度 :■■■□□

定義名称 Win32/Autoit.NHY
シグネチャ検査による結果だった場合 Win32/Autoit.NHY
別名 Trojan.Win32.Autoit.aki(Kaspersky)、Trojan.Encoder.99(Dr. Web)
種別 トロイの木馬
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Autoit.NHY トロイの木馬の亜種」という名称で警告が出ます。
対応時期 バージョン5865(20110211)以降
影響を受けるプラットフォーム Microsoft Windows
概要 このトロイの木馬はローカルドライブのファイルを暗号化します。ファイルを復号化するためのパスワードや手順と引き換えに、特定の条件に従うようユーザーに要求します。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%appdata%は、マイドキュメント以下のApplication Dataディレクトリを表記しています。
%malwarepath%は、マルウェアプログラムまでのパスを表記しています。

解説


■侵入(インストレーション)について
このトロイの木馬は、自身のコピーを作成しません。

システムが起動するたびに実行されるよう、次のレジストリエントリを登録します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Session" = "%malwarepath%"


次のファイルを作成します。

%appdata%\11
%appdata%\crypted
%appdata%\lstt
%appdata%\online
%appdata%\pass
%appdata%\code
%appdata%\UAC


■ペイロード情報
このトロイの木馬はローカルドライブのファイルを暗号化します。

次の拡張子を持つファイルをローカルドライブで探します。

*.3DS
*.3GP
*.7z
*.abr
*.ACCDB
*.ACCDA
*.ace
*.acf
*.act
*.ahk
*.ai
*.aif
*.aiff
*.ams
*.app
*.ase
*.asf
*.atn
*.aux
*.b
*.bak
*.bas
*.bcp
*.bdf
*.blend
*.c
*.c++
*.cad
*.cas
*.cc
*.cda
*.cbl
*.cef
*.cfa
*.cfc
*.cfm
*.chr
*.cmv
*.cob
*.cpp
*.cs
*.csm
*.csv
*.cvs
*.db
*.dbf
*.dbx
*.dcc
*.dcl
*.dbx
*.dcu
*.dev
*.dfm
*.dof
*.dsc
*.djvu
*.exp
*.f4a
*.f4v
*.flv
*.bmp
*.frx
*.gml
*.h
*.h++
*.hbk
*.hdr
*.hex
*.hlp
*.hpp
*.idw
*.iwd
*.java
*.jpg
*.jpeg
*.k3d
*.lin
*.lib
*.lng
*.lsp
*.lua
*.lwo
*.lxo
*.lzw
*.m
*.m3u
*.mak
*.map
*.mat
*.mcd
*.mdl
*.md2
*.md3
*.mda
*.mdb
*.mk
*.mli
*.mmf
*.mny
*.mov
*.mp2
*.mp3
*.mp4
*.mpa
*.mpeg
*.mpg
*.mpp
*.mpx
*.msc
*.mrc
*.mtl
*.mxp
*.nfo
*.obj
*.odb
*.odg
*.odf
*.odm
*.ods
*.odt
*.odp
*.ofn
*.opt
*.otg
*.oxt
*.package
*.pak
*.pat
*.pcb
*.pcm
*.pcx
*.pdd
*.pdf
*.pdw
*.php
*.pic
*.pk2
*.pk3
*.pk4
*.pkg
*.plb
*.png
*.pov
*.pot
*.ppj
*.prj
*.prx
*.psd
*.psq
*.pst
*.pxp
*.rar
*.raw
*.rb
*.rc
*.reg
*.res
*.rl4
*.rl8
*.rm
*.rmvb
*.sdr
*.shp
*.SLDASM
*.SLDDRW
*.slk
*.stf
*.svg
*.swf
*.sym
*.tar
*.taz
*.tif
*.tiff
*.tlb
*.tpl
*.txt
*.au3
*.VBPROJ
*.vb
*.vcd
*.eg
*.vob
*.w3p
*.w3a
*.w3m
*.w3p
*.w3v
*.wav
*.wdb
*.wmp
*.wpj
*.x
*.xcf
*.xlc
*.xls
*.xlw
*.3g2
*.264
*.3gp2
*.aaf
*.asf
*.aepx
*.asx
*.avi
*.bdm
*.bik
*.camrec
*.divx
*.dvx
*.mkv
*.f4v
*.m4v
*.m4u
*.ogm
*.wmv
*.xvid
*.div
*.doc
*.docx
*.ogv
*.zip
*.gzip
*.cdr
*.dwg
*.max
*.gif
*.xlsx
*.ppt
*.pptx
*.htm
*.html
*.1cd
*.md
*.mdf
*.ifo
*.torrent
*.flac
*.ape
*.wma
*.ac3
*.rtf
*.wps
*.wpd
*.key
*.pps
*.aac
*.drw
*.eps
*.indd
*.wks
*.sql
*.pln
*.iso
*.class
*.msi
*.asp
*.docm
*.fla
*.pas
*.tga
*.xlsm
*.cert
*.p12
*.db8
*.m4a
*.ai
*.pub
*.cdl
*.pem
*.cer
*.crt
*.der
*.p12
*.pfx


いずれかの拡張子のファイルを見つけたら、そのファイルを複製します。

新しく作成されたファイルの名前と拡張子は、元のファイルと同じになります。

"EnCrYpTeD"という拡張子が末尾に追加されます。

そのファイルのコンテンツを暗号化します。

元のファイルを削除します。

■その他の情報
このトロイの木馬は次のダイアログボックスを表示します。




次のプログラムを終了させます。

taskmgr.exe
procexp.exe
mmc.exe
regedit.exe
msconfig.exe


このページのトップへ

(C)Canon IT Solutions Inc.