テクニカルサポート > Virus Information Center > 2005年公開情報リスト > Win32.Oneraw Family

Win32.Oneraw Family

情報公開日 2005/10/18
最終更新日 2005/10/18

以下は、このウイルスについての詳細情報です。

危険性の評価
全般的なリスク:  
LOW
一般:  
LOW
破壊性:  
LOW
蔓延性:  なし
NO

特徴
タイプ: チェーン レター
カテゴリ: Win32
または: W32/Adclicker.IW (F-Secure), Downloader-AFH (McAfee), Adclicker-BW (McAfee), Trojan.Desktophijack (Symantec), TROJ_DLOADER.SQ (Trend), W32/FakeAlert.AM (F-Secure), Win32/Oneraw, Win32/Oneraw!generic, Win32/Oneraw.A, Win32.Oneraw.A, Win32/Oneraw.A!Trojan, Win32.Oneraw.B, Win32/Oneraw.B, Win32.Oneraw.C, Win32/Oneraw.C!Trojan, Win32.Oneraw.D, Win32/Oneraw.E, Win32.Oneraw.F, Win32/Oneraw.F!Trojan, Win32.Oneraw.G, Win32.Oneraw.H, Win32.Oneraw.I, Win32/Oneraw.I!Trojan, Win32.Oneraw.J, Win32.Oneraw.K, TROJ_SHERIFF.A (Trend), Win32/SillyDl.24064!Trojan, Troj/Spyhoax-A (Sophos), Adware-SpySheriff (McAfee), Adware-SpySheriff.dldr (McAfee), Win32/Spywad.28160!Trojan, TROJ_SPYWAD.I (Trend), Troj/Spywad-E (Sophos), Trojan-Downloader.Win32.Agent.se (Kaspersky), Hoax.Win32.Renos.a (Kaspersky), Hoax.Win32.Renos.c (Kaspersky), Hoax.Win32.Renos.d (Kaspersky), Hoax.Win32.Renos.l (Kaspersky), Hoax.Win32.Renos.m (Kaspersky), Hoax.Win32.Renos.n (Kaspersky), Hoax.Win32.Renos.o (Kaspersky), Trojan-Clicker.Win32.Spywad.h (Kaspersky)


説明

Win32.Oneraw は感染したシステム上に、大量の不要なファイルをダウンロードし、インストールするトロイの木馬です。 また、デスクトップの設定を改ざんすることもあります。

感染方法

Win32.Oneraw トロイの木馬群 が実行されると、システム トレイにアイコンを埋め込み、システムがスパイウェアに感染したというメッセージを表示することがあります。 トロイの木馬が表示するメッセージの例を以下に示します。

また、トロイの木馬群は、「 C:\winstall.exe 」に自身をコピーし、そのコピーと、最初に実行されたファイルが実行されるように以下のレジストリ値を設定することがあります。

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows installer = "C:\winstall.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SNInstall =
<path to executable>

トップに戻る

ペイロード

任意のファイルのダウンロードおよび実行

Oneraw は特定のドメインから「 %Application data%\install.dat 」ファイルをダウンロードします。このファイルは、実行可能なサウンド ファイルとデータ ファイルを、大量に含んだパッケージです。 主要な実行ファイルがこのファイルをダウンロードし、これらのファイルすべてのファイルを解凍し、 「 C:\Program Files 」ディレクトリにあるフォルダに保存します。 通常、 Win32.Oneraw トロイの木馬群は「 SpywareNo 」または「 SpySheriff 」という名前のフォルダを生成します。 通常、保存されるファイル名は以下の通りです。

found.wav
IESecurity.dll
notfound.wav
Procmon.dll
removed.wav
SpywareNo.dvm
SpySheriff.dvm
SpywareNo.exe
SpywareNo_1.dat
SpywareNo_2.dat
Uninstall.exe

本情報記述時点で、ダウンロードされたファイルは感染マシン上で、間違った感染情報を報告する不要なスパイウェア スキャナの一部です。

注 : トロイの木馬は、以下のレジストリ エントリを検索して、「 Application data 」フォルダのパスを調べます。

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData

このフォルダのパスは、通常、「 C:\Documents and Settings\< ユーザ名 >\Application data 」です。

デスクトップの設定を改ざん

トロイの木馬は、「 desktop.html 」とよばれる HTML ファイルを %Windows% ディレクトリに埋め込み、デスクトップの壁紙にその HTML ファイルを表示させます。 また、この改ざんによって、もとの設定に復元することができなくなります。

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Wallpaper = "%Windows%\desktop.html"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoComponents = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoAddingComponents = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoDeletingComponents = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoEditingComponents = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoHTMLWallPaper = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktop = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ClassicShell = 0
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn = 1
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\WallpaperStyle = 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\TileWallpaper = 0
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\ComponentsPositioned = 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\WallpaperFileTime = <value>
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\WallpaperLocalFileTime = <value>
HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\WallpaperFileTime = <value>
HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\WallpaperLocalFileTime = <value>

Win32.Oneraw トロイの木馬群は、さまざまな HTML ファイルを表示します。 Win32.Oneraw.A が表示する HTML を以下に例として示します。

注 : %Windows% は可変ロケーションです。 この悪意のプログラムは、オペレーティング システムを検索し、現行の Windows フォルダのロケーションを調べます。 Windows ディレクトリのデフォルト インストール先は、 Windows 2000 および NT では C:\Winnt 、 95/98/ME では C:\Windows 、 XP では C:\Windows になっています。

トップに戻る

補足情報

Win32.Oneraw トロイの木馬群は、感染マーカーとして以下のレジストリ キーを生成します。

HKCU\Software\Install
HKCU\Software\Reinstall

Analysis by Amir Fouda

駆除手順

eTrust Antivirus 6x/v7* (InoculateIT Engine)
駆除手順

シグネチャ:

駆除手順: 最新のeTrust Antivirusシグネチャファイルをダウンロードおよび適用します。eTrust Antivirusのローカルスキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータシステムでフルスキャンを実行します。

これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください。

Windows MEおよびXPをご使用の場合はこちらをご覧ください

ご注意: これらのシグネチャ番号(およびそれ以上)を使用することで、ウイルスから保護することができます。現在ダウンロード可能なシグネチャファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。

シグネチャ: 11.x/9451

駆除手順: 最新のeTrust Antivirusシグネチャ ファイルをダウンロードおよび適用します。 eTrust Antivirusのローカル スキャナを起動します。感染処置オプションのファイル処理を「ファイルの修復」に設定し、「システム修復」機能を有効にした上で、感染したすべてのコンピュータ システムでフルスキャンを実行します。

これらのeTrust Antivirus 6.x/v7機能の詳細については、製品のヘルプ画面を参照するか、SupportConnectにアクセスしてください。

Windows MEおよびXPをご使用の場合はこちらをご覧ください

ご注意: これらのシグネチャ番号(およびそれ以上)を使用することで、ウイルスから保護することができます。 現在ダウンロード可能なシグネチャ ファイルが上記よりも古いバージョンである場合、必要となるシグネチャは現在テスト中です。ご利用可能となるまでしばらくお待ちください。


緊急感染予防情報
     
シグネチャ ファイルをダウンロード シグネチャ ファイルをダウンロード
ウイルスをスキャン ウイルスをスキャン
クリーニング ユーティリティ クリーニング ユーティリティ
サンプル ウイルスの投稿 サンプル ウイルスの投稿

* InoculateIT および eTrust InoculateIT 6.0 に対する更新を含みます。