キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)
最新ウイルス情報 : Win32/Autorun.CH
公開日:2008年02月07日
このウイルスに関する危険度 :■■■□□

定義名称 Win32/Autorun.CH
別名 Virus.Win32.AutoRun.fb (Kaspersky), Generic VB.b (McAfee), W32.SillyFDC (Symantec)
種別 ワーム
アドバンスドヒューリスティック検査による結果だった場合

このオリジナルのワームを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Autorun ワームの亜種」という名称で警告が出ます。
影響受けるプラットフォーム Microsoft Windows
概要 Win32/Autorun.CH ワームは、リムーバブルメディアを通じて感染を広げるワームです。

検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

ワームが実行されると、ワームは自分自身を次のファイルを使って %windir% へコピーします。

Knight.exe

次のレジストリを登録します。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Disk Knight]
"DisplayName" = "Disk Knight"
"UninstallString" = "%windir%\Knight.exe uninstall"
"DisplayVersion" = "2.0"
"Publisher" = "Kalpurush"
"HelpLink" = "http://www.ariful.esmartweb.com/software.html"
"Readme" = "res://%windir%\Knight.exe/about.html
"Contact" = "ariful2k@hotmail.com"

■リムーバブルメディア経由の拡散について

ワームは、ルートフォルダに次のファイル名で自分自身をコピーします。

Knight.exe

同じフォルダに次のファイルをドロップします。

autorune.exe (766464 B)

さらに、ワームは同じ場所に次のファイルを作成します。

autorun.inf

■その他の情報

ワームは、アプリケーションの実行を妨害します。
このページのトップへ

(C)Canon IT Solutions Inc.