解析者: Roland Marco Dela Paz   
 別名:

Virus.Win32.Virut.ce (Kaspersky); Backdoor:Win32/Lamin.A (Micosoft)

 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ファイル感染型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい


  詳細

使用ポート TCP Port 80 (HTTP), UDP port 80 (HTTP)
ファイルサイズ 不定
タイプ PE
メモリ常駐 はい
発見日 2010年11月13日
ペイロード ファイルのダウンロード, HOSTSファイルの改変

インストール

ウイルスは、以下のプロセスにコードを組み込みます。

  • WINLOGON.EXE

他のシステム変更

ウイルスは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
\??\%System%\winlogon.exe = \??\%System%\winlogon.exe:*:enabled:@shell32.dll,-1

ファイル感染

ウイルスは、以下の形式のファイルに感染します。

  • .EXE
  • .SCR

ウイルスは、ファイル名に以下の文字列を含むファイルには感染しません。

  • OTSP
  • WC32
  • WCUN
  • WINC

ウイルスは、以下のファイルには感染しません。

  • .DLL files
  • PE Files with "_win" section name
  • Files with infection marker

HOSTSファイルの改変

ウイルスは、WindowsのHOSTSファイルに以下の文字列を追加します。

  • 127.0.0.1 jL.{BLOCKED}.pl

その他

ウイルスは、UDPおよびTCPポート80番を用いて以下のIRCサーバのいずれかに接続します。

  • irc.{BLOCKED}ef.pl
  • proxim.{BLOCKED}axy.pl

ウイルスは、IRCサーバに接続する際、ニックネームにはランダムに作成された8文字を使用し、ユーザ名には、ランダムな1文字を使用します。接続されると、ウイルスは、特定のチャンネルに参加し、外部からのコマンドを待機します。コマンドを受信するとそれを実行します。

このウイルス情報公開日現在、、サーバは、以下のWebサイトから不正なファイルをダウンロードするようにコマンドを送信します。

  • http://{BLOCKED}a.com/kb9.txt

ダウンロードされたファイルは、以下のように検出されます。

上記のファイルは、"Temp"フォルダに一時ファイルとして保存されます。

ウイルスは、ダウンロードしたファイルを実行します。

ウイルスは、以下のWebサイトにDNSリクエストを実行します。

  • {BLOCKED}ns.pl

ウイルスは、以下のAPIをフックします。これによりAPIが呼び出しされる際に、不正なコードが実行されることになります。そしてファイル感染が行なわれます。

  • NtCreateFile
  • NtOpenFile
  • NtCreateProcess
  • NtCreateProcessEx
  • NtQueryInformationProcess

ウイルスは、スクリプトファイルにもファイル感染を行ないます。この際、ウイルスは、感染対象のスクリプトファイルの拡張子が以下のいずれかであるかを最初に確認します。

  • ASP
  • HTM
  • PHP

こうして感染対象のスクリプトファイルを発見すると、ウイルスは、それらのファイルに "iframe" の感染を行なうための目印を付けます。ウイルスは、目印が付けられたファイルを開き、中に特定の文字列があるかどうかをチェックします。特定の文字列があった場合、そのファイルへのファイル感染をスキップします。特定の文字列がない場合は、ファイル感染を行ないます。

ウイルスは、感染対象のスクリプトファイル内で "" という文字列を探します。この文字列を発見した場合、ウイルスは、以下のような "iframe" コードを挿入してファイル感染を行ないます。



感染したスクリプトファイルは、トレンドマイクロ製品では、「HTML_IFRME.QAWA」として検出されます。感染したEXEファイルおよびSCRファイルは、「PE_VIRUX.J」、「PE_VIRUX.N-3」および「PE_VIRUX.AA」として検出されます。

ウイルスが上記の不正活動を実行した後、感染したHOSTSファイルは、本来の正規コードによる機能に戻されます。

  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 7.618.04
初回 VSAPI パターンリリース日 2010年11月13日
VSAPI OPR パターンバージョン 7.619.00
VSAPI OPR パターンリリース日 2010年11月13日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

自動削除手順

Trend Micro Fixtoolを入手して実行してください。リンクをクリックして解凍した上で、指定のFixtoolを最新パターンファイルがある同じフォルダ内で実行してください。このツールの詳細に関しては、同様にクリックして解凍した際に入手できるFixtoolのテキストファイルをご参照ください。

手動削除手順

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
    • \??\%System%\winlogon.exe = \??\%System%\winlogon.exe:*:enabled:@shell32.dll,-1

手順 5

不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。

[ 詳細 ]
    • 127.0.0.1 jL.{BLOCKED}.pl

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「PE_VIRUX.AA-O」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください

関連マルウェア