PE_VIRUX

「VIRUX」ファミリは、2009年初頭に注目を集めました。このファイル感染型ウイルス「VIRUX」ファミリは、リムーバブルドライブおよびネットワーク共有フォルダを介して拡散します。そして、感染コンピュータに対し脆弱性を利用します。また「VIRUX」ファミリの亜種は、ソフトウェアのライセンス／シリアル番号やキー生成プログラム、プログラムをクラッキングするためのツールを提供するサイトにおいて確認されてきました。

多くのファイル感染型ウイルスは、1種類の手法を利用しファイル感染を行うのに対し、「VIRUX」ファミリの亜種は、2種類以上の手法を組み合わせて利用することでファイル感染を行います。このため、この「VIRUX」ファミリの検出や削除が困難となります。さらに「VIRUX」ファミリの亜種は、EXEやSCR、ASP、HTM、PHPといったファイルタイプに感染します。また特定の「VIRUX」ファミリの亜種は、スクリプトファイルに感染するために、不正な "iframe" コードを挿入します。

実行されると、「VIRUX」ファミリの亜種は、IRCサーバへ接続します。そして、不正なコマンドを受信し、URLをダウンロードします。このURLは、「FAKEAV」ファミリの亜種を含む他のマルウェアの感染をもたらします。

「VIRUX」ファミリの亜種は、セキュリティに関連するアプリケーションを終了し、Windows ファイアウォールやセキュリティに関するプラグインを無効にします。またなかには、感染コンピュータのHOSTSファイルを修正し、ウイルス対策製品関連サイトへのアクセスを阻止する亜種もあります。これによって、感染コンピュータからの削除を回避します。

インストール

ウイルスは、以下のファイルを作成します。

• %Windows%\{random file name}.exe

(註：%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

他のシステム変更

ウイルスは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random registry key name}

ウイルスは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
\??\%System%\winlogon.exe = "\??\%System%\winlogon.exe:*:enabled:@shell32.dll,-1"

バックドア活動

ウイルスは、以下のいずれかのIRCサーバに接続します。

• irc.{BLOCKEDf.pl

HOSTSファイルの改変

ウイルスは、WindowsのHOSTSファイルに以下の文字列を追加します。

• 127.0.0.1 {BLOCKED}F.pl
• 127.0.0.1 jL.{BLOCKED}a.pl

その他

「VIRUX」ファミリの亜種は、ランダムに生成されるドメインを利用し、コマンド＆コントロール（C&C）サーバへ接続します。生成されるドメインは、以下のとおりです。

• ＜ランダムな6文字＞.com