キヤノンITソリューションズ：NOD32 アンチウイルス：Win32/Autorun.DA


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/Autorun.DA	公開日：2007年12月12日
このウイルスに関する危険度 :■■■□□

定義名称	Win32/Autorun.DA
別名	Virus.Win32.AutoRun.adk (Kaspersky), W32/Generic.m (McAfee), Trojan.delfelk.A (BitDefender)
種別	ワーム
シグネチャ検査による結果だった場合	Win32/Persky.F
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのワームを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Autorun ワームの亜種」という名称で警告が出ます。
影響受けるプラットフォーム	Microsoft Windows
概要	Win32/Autorun.DA ワームは、リムーバブルメディアを通じて感染を広げるワームです。このファイルはUPXを使って圧縮されたランタイムです。

検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

ワームが実行されると、ワームは自分自身を次の場所へコピーします。

%system%

コピーされたファイル名は、次の名前で保存されています。

explorer.exe
link.exe

次のファイルは、%windir% へドロップされます。

information.jpg (123563 B)
information.scr (337920 B)

ワームがシステム起動時に毎回実行できるようにするために、次のレジストリが登録されます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon]"Shell" = "explorer.exe "%system%\link.exe""

さらに、次のレジストリを登録します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\Showall
]"CheckedValue" = 0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"Hidden" = 2

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"HideFileExt" = 1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"ShowSuperHidden" = 0

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper" = "%windir%\information.jpg"

■拡散について

ワームは、次のアプリケーションによってアクセスしたフォルダへ自分自身をコピーしていきます。

explorer.exe

既存のフォルダ名もしくはファイル名を利用して、次の拡張子を加えたコピーが保存されます。

".exe".

■リムーバブルメディア経由の拡散について

ワームは、次のフォルダを作成します。

%drive%\RECYCLER\

同じフォルダに次のファイルをドロップします。

autorune.exe (766464 B)

さらに、ワームは次のファイルを作成します。

%drive%\autorun.inf

■その他の情報

ワームは、次のファイルを削除します。

%system%\soundmix.exe

ワームは、次のレジストリを登録することがあります。

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
"(Default)" = ""%1" %*"

ワームは、次のレジストリを削除することがあります。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"soundmix" = "%system%\soundmix.exe"

ワームは、次のプロセスを起動します。

explorer.exe

ワームは、次のプロセスの作用を変更します。

Windows Task Manager