PCの修理が必要ですか?
専門家に頼む
ウイルスWORM/Roron.50.A
発見日:10/07/2003
タイプワーム
感染報告有りいいえ
感染報告
感染の可能性
ダメージ・ポテンシャル
VDFファージョン:6.20.00.35 - 2003年7月10日木曜日
IVDFファージョン:6.20.00.35 - 2003年7月10日木曜日

 一般情報 感染方法
   • それ自体に伝染能力はない


別名
   •  McAfee: W32/Oror.gen@MM virus
   •  Kaspersky: Email-Worm.Win32.Roron.50.a
   •  F-Secure: Email-Worm.Win32.Roron.50.a
   •  Sophos: W32/Oror-M
   •  Bitdefender: Win32.Roron.A@mm
   •  AVG: Worm/Opanki.AJ
   •  Panda W32/Oror.Q
   •  Grisoft I-Worm/Roron
   •  Eset Win32/Roron.50.B worm
   •  Fortinet: suspicious
   •  Norman: Oror.AG


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用
   • 悪意ファイルを作成します。
   • レジストリの改変。

 ファイル 以下のファイルが作成されます:

– 悪意のないファイル:
   • %SYSDIR%\Syscnav_.def
   • %SYSDIR%\vancRun.vxd
   • %WINDIR%\cnav98.sys
   • %SYSDIR%\Syscnav_.def
   • %WINDIR%\Faith.ini

– このファイルは一時的に使用されるタイプで、後で消去される可能性があります。
   • %temp%/OAG3.tmp
   • %temp%/OAG4.tmp
   • %temp%/OAG5.tmp

%WINDIR%\Cmdcnav32.exe 作成が完了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。
%PROGRAM FILES%\Common Files\Common16.exe 作成が完了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。
%SYSDIR%\$winnt$.exe 作成が完了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。

 レジストリ 再起動後そのプロセスを実行するため、それぞれのレジストリ・キーに、それらの値のうちの1つを追加します:

–  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%SYSDIR%\$winnt$.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Common StartUp"="%PROGRAM FILES%\Common Files\Common16.exe"
   • "LoadSystem"="Cmdcnav32.exe powrprof.dll,LoadCurrentPwrScheme"



以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:

– [HKLM\SOFTWARE\Classes\exefile\shell\open\command]
   • "(Default)"="Cmdcnav32.exe "%1" %*"

– [HKCR\exefile\shell\open\command]
   • "(Default)"="Cmdcnav32.exe "%1" %*"

説明の挿入者 Wensin Lee の 2013年3月5日火曜日
説明の更新者 Wensin Lee の 2013年3月5日火曜日

戻る . . . .
https:// このウィンドウは暗号化されています。