Loading...

ナレッジセンター


対策方法 - Stinger と ExtraDAT を使用してのW32/Autorun.worm.aaea - aaem 対処方法
技術的な記事 ID:  KB80850
最終更新:  2014/02/13

概要

環境:

McAfee Signed ExtraDAT
Multiple McAfee products

脅威名称:

W32/Autorun.worm.aaea
W32/Autorun.worm.aaeb
W32/Autorun.worm.aaec
W32/Autorun.worm.aaed
W32/Autorun.worm.aaee
W32/Autorun.worm.aaef
W32/Autorun.worm.aaeg
W32/Autorun.worm.aaeh
W32/Autorun.worm.aaei
W32/Autorun.worm.aaek
W32/Autorun.worm.aael
W32/Autorun.worm.aaem
VBObfus.ey
VBObfus.ez
VBObfus.fa

概要:

この記事には最新バージョンのEXTRA.DATについてのダウンロード情報が含まれています。

下記のFTPサイトより入手できます:
ftp://custftp2.nai.com/outgoing/Support/extra.zip

重要: このExtra.dat(W32/Autorun.worm.aaeh) につきましては、まず最初にお客様環境下のいくつかのマシンでテストを
十分に実施し、動作に問題がないことを確認されてからの展開をお願いします。

ファイル名 内容 詳細 注意
EXTRA.zip EXTRA.DAT ExtraDAT (SED) for W32/Autorun.worm.aae* VirusScan Enterprise 8.8 へのEXTRA.DAT ファイル手動適用方法: KB80951
SaaS Endpoint Protection 5.0 へのEXTRA.DAT ファイル手動適用方法: KB80904
ePolicy Orchestrator 4.5 /4.6 からEXTRA.DATを配布する方法: KB67602

*このZIPファイルにはパスワード (infected) がついています。

脅威情報:

W32/Autorun.worm.aae*は、ネットワークシェアのマウントと同様にリムーバブル・メディアデバイスへ感染する能力を持っています。感染ファイルの手動実行、または感染ファイルが含まれているフォルダへナビゲートすることでAutorun.infファイルの自動実行で感染します。またZIPとRARのアーカイブファイルへコピーを加えられます。

さらにCommand-and-Control (C&C) サーバーからの命令によって、自身または他のマルウェアの最新版へアップデートされます。

本マルウェアの詳細な情報については、Threat Advisory PD24169 または下記のURLを参照ください。
http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=1607456)

重要:

  • Autorun.worm.aae* はサーバーサイド・ポリモーフィックタイプのマルウェアです。これは悪意のあるファイルが規則的に変更されるため、亜種が発見されるたびにマルウェアの解析が必要となるかもしれないことを意味します。亜種と疑われるサンプルを見つけられた場合には、下記を参考に弊社ウィルス解析機関へのサンプル提供をお願いします。

    McAfee Labs にウイルスのサンプルを送信する方法
    http://www.mcafee.com/japan/pqa/aMcAfeeART.asp?ancQno=AR11093003&ancProd=McAfeeART
  • ExtraDATファイルをクライアントへ展開される前にカスタムアクセスプロテクション (AP) ルール規則をローカルでテストする必要があります。詳細については、KB76425(英語)を参照してください。
推奨手順

ファイル/フォルダアクセスプロテクションルールを作成することで、Autorun.inf の実行がブロックされます:

ファイル/フォルダアクセスプロテクションルール(ユーザ定義ルール)
フィールド 設定内容
ルール名  Block Autorun.inf
組み入れるプロセス  *
除外するプロセス Stinger.exe, scan*.exe, mcshield.exe
ブロックするファイルもしくはフォルダ autorun.inf
禁止されたファイルアクション 下記項目を有効:
  • ファイルに対する読み取りアクセス
  • ファイルに対する書き込みアクセス
  • 実行中のファイル
  • 新規ファイルの作成

ファイル/フォルダアクセスプロテクションルールを作成することで、rar.exe の実行がブロックされます:

ファイル/フォルダアクセスプロテクションルール(ユーザ定義ルール)
フィールド 設定内容
ルール名 Block rar.exe
組み入れるプロセス *
除外するプロセス Stinger.exe, scan*.exe, mcshield.exe
ブロックするファイルもしくはフォルダ rar.exe
禁止されたファイルアクション 下記項目を有効:
  • 実行中のファイル

ファイル/フォルダアクセスプロテクションルールを作成することによって、下記名称の新しい exe ファイルの作成がブロックされます:

  • Secret.exe
  • Passwords.exe
  • Porn.exe
  • Sexy.exe
  • X.mpeg

    注意: 各ファイルにつき1つのルールを作成する必要があります。
ファイル/フォルダアクセスプロテクションルール(ユーザ定義ルール)
フィールド 設定内容
ルール名 Block secret.exe
組み入れるプロセス *
除外するプロセス 空白
ブロックするファイルもしくはフォルダ Secret.exe 
禁止されたファイルアクション 下記項目を有効:
  • 実行中のファイル
  • 新規ファイルの作成

ポートアクセスプロテクションルールポートを作成することで、Port:9004がブロックされます:

ポートのブロックルール(ユーザ定義ルール)

フィールド

設定内容

ルール名

Block Port 9004

組み入れるプロセス

*

除外するプロセス

空白

ブロックするポート: 開始ポート

9004 

ブロックするポート: 終了ポート

9004

方向

下記項目を有効:

  • 受信 - ネットワークを介したローカルポートへのアクセスを拒否します
  • 送信 - ローカルプロセスからネットワーク上の他のコンピュータのポートへのアクセスを拒否します
   

レジストリアクセスプロテクションルールを作成することで、ウィンドウズアップデートレジストリキーが保護されます

レジストリのブロックルール(ユーザ定義ルール)
フィールド 設定内容
ルール名 Protect noautoupdate
組み入れるプロセス
除外するプロセス 空白
保護するレジストリのキーまたは値 選択するキー: HKLM
下記内容を設定:
  • \Software\policies\Microsoft\Windows\WindowsUpdate\AutoUpdate
保護するレジストリのキーまたは値 Key
ブロックするレジストリのアクション数 下記項目を有効:
  • キーまたは値への書き込み
  • キーまたは値の作成

レジストリアクセスプロテクションルールを作成することで、エキスプローラーアドバンストレジストリキーが保護されます:

レジストリのブロックルール(ユーザ定義ルール)
フィールド 設定内容
ルール名 protect superhidden
組み入れるプロセス
除外するプロセス 空白
保護するレジストリのキーまたは値 選択するキー: HKCU
下記内容を設定:
  • \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
保護するレジストリのキーまたは値 Key
ブロックするレジストリのアクション数 下記項目を有効:
  • キーまたは値への書き込み
  • キーまたは値の作成

重要: 下記のルールを有効にする場合、お客様環境下で十分テストを実施し、動作に問題がないことを確認されてからの展開を推奨します。

ファイル/フォルダアクセスプロテクションルール(ユーザ定義ルール)
フィールド 設定内容
ルール名 Block new exe in user account (aggressive - Windows 7)
組み入れるプロセス  *
除外するプロセス Stinger.exe, scan*.exe, mcshield.exe
ブロックするファイルもしくはフォルダ C:\Users\*\*.exe
禁止されたファイルアクション 下記項目を有効:
新規ファイルの作成

ファイル/フォルダアクセスプロテクションルール(ユーザ定義ルール)
フィールド 設定内容
ルール名 Block new exe in user profile (aggressive - Windows XP)
組み入れるプロセス *
除外するプロセス 空白
ブロックするファイルもしくはフォルダ C:\Documents and Settings\*\*.exe
禁止されたファイルアクション 下記項目を有効:
新規ファイルの作成

以前のドキュメント ID

TP512121701

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.