キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/AutoRun.IRCBot.JD
公開日:2014年1月21日
このウイルスに関する危険度 :■■■■□

定義名称 Win32/AutoRun.IRCBot.JD
シグネチャ検査による結果だった場合 Win32/AutoRun.IRCBot.JD
別名 Trojan.Win32.IRCbot.aoe(Kaspersky)、Worm:Win32/Phorpiex.B(Microsoft)、RDN/Sdbot.worm!bq.virus(McAfee)、Backdoor.IRCBot.ADLT(BitDefender)
種別 ワーム
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/AutoRun.IRCBot.JD ワームの亜種」という名称で警告が出ます。
対応時期 バージョン8863(20131001)以降
影響を受けるプラットフォーム Microsoft Windows
概要 このワームは、リムーバブルメディアを介して感染を広げます。バックドアの機能を備えており、リモートからコントロールすることが可能です。UPXを使用して実行ファイルが圧縮されています。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。
%removabledrive%は、リムーバブルドライブを表記しています。
%userprofile%は、ユーザーのマイドキュメントディレクトリを表記しています。

解説


■侵入(インストレーション)について
このワームは、実行時に自身を次の場所にコピーします。

%userprofile%\M-480280608804286024044\winsvc.exe


システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows Manager" = "%userprofile%\M-480280608804286024044\winsvc.exe"


次のレジストリーエントリーを登録します。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%userprofile%\M-480280608804286024044\winsvc.exe" = "%userprofile%\M-480280608804286024044\winsvc.exe:*:Enabled:Microsoft Windows Manager"


これにより、Windowsファイアウォールに例外が設定され、ワームによる通信が許可されます。

■リムーバブルメディアへの感染について
このワームは、リムーバブルドライブのルートフォルダー内のファイルとフォルダーを検索します。

該当ファイルを見つけると、削除します。

次のフォルダーを作成します。

%removabledrive%\DATA\


既存のファイルまたはフォルダーの名前に基づいたファイル名を使用してリムーバブルドライブのルートフォルダーに自身をコピーします。

■★スパムメールの配信について★
このワームは、スパムの送信に使用される場合があります。

配信されるメッセージの件名には、次のようなものがあります。

hahaha
;)
:D
:P
:)
;D


配信されるメッセージの本文には、次のようなものがあります。

Is this you??
Picture of you??
Tell me what you think of this picture
This is the funniest picture ever!
Someone showed me your picture
I love your picture!
You look so beautiful on this picture
You should take a look at this picture
Take a look at my new picture please
What you think of this picture?
Should I upload this picture on facebook?
Someone told me it's your picture
I found this picture of you
Your picture is all over the web now
Could you explain please?
I just can't belive this
Shame on you
You look terrible on this photo
Your wife won't be happy about that
Your friends won't be happy about that
Photo of you naked??
Please tell me this is your photo
Check out my photo but keep it private
My private photo for you
My private photo
My private picture
To show how much I love you
I love you so much please check my photo
My private picture only for you
Hey check out this picture
Do you think she is hot?
How do you think she looks?
Do you think I'm attractive?
Please rate my picture
Do you think I'm 'pretty or ugly?
Your opinion needed
Private
Keep it secret
Keep it private


このワームがインターネットからダウンロードするファイルが添付されます。

■その他の情報
このワームは、リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。

2つのURLを保持しています。通信にはIRCプロトコルが使用されます。

次を実行します。

リモートのコンピューターもしくはインターネットからファイルをダウンロードする
実行ファイルを実行する
自身をアンインストールする
スパムメールを送信する


このページのトップへ

(C)Canon IT Solutions Inc.