ウイルス情報

RootKit (00182bda1)

対応日

2010-07-17

驚異レベル

種類

トロイの木馬

影響のあるOS

Windows Vista Windows XP Windows 2003 Server Windows 2000

ファイルサイズ(バイト)

513536

別名

Trojan-Dropper.Win32.Stuxnet.a (Kaspersky Anti-Virus)

ウイルスの挙動

  1. "mrxcls.sys"ファイルと"mrxnet.sys"ファイルを%System%\Driversフォルダ以下に作成する
  2. "%Windows%\INF"フォルダに、以下の暗号化されたファイルを追加する
    mdmcpq3.PNF
    mdmeric3.PNF
    oem6C.PNF
    oem7A.PNF
  3. 自身をサービスとして登録するため、以下のレジストリ値を追加する
    "ImagePath" = "%System%\drivers\mrxcls.sys"
     ・場所
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
  4. 自身をサービスとして登録するため、以下のレジストリ値を追加する
    "ImagePath" = "%System%\drivers\mrxnet.sys"
     ・場所
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet
  5. 自身を以下のファイルとしてリムーバブルドライブのルートフォルダ直下にコピーし、ルートキットとしてファイルを隠蔽する
    ~wtr4141.tmp
    ~wtr4132.tmp
    Copy of Shorcut to.lnk
    Copy of Copy of Shorcut to.lnk
    Copy of Copy of Copy of Shorcut to.lnk
    Copy of Copy of Copy of Copy of Shorcut to.lnk
  6. このトロイの木馬は、自動実行のためにWindowsショートカットのゼロデイ脆弱性を使用する。このエクスプロイトの詳細情報はこちら

駆除方法

  1. ウイルスセキュリティを最新の状態にアップデートします。※アップデート方法はこちら
  2. パソコンをセーフモードで起動します。※セーフモードによる起動方法はこちら
  3. パソコン全体の検査を行ないます。※検査方法はこちら
  4. 検知したすべての感染ファイルを削除します。(通常は自動で削除されます。)
  5. レジストリエディタを開きます。※手順はこちら
  6. 以下のレジストリを削除します
     ・値
    MRxCls
    MRxNet
     ・場所
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
  7. レジストリエディタを閉じます
  8. パソコンを再起動します

Trojan (001804361) < RootKit (00182bda1) > Trojan (0018402c1)