解析者: Adrian Cofreros   
 別名:

Virus:Win32/Virut.BN(Microsoft),Virus.Win32.Virut.ce(Kaspersky),Virus.Win32.Virut.ce (v)(SunBelt)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    ファイル感染型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成, ファイルに感染

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ウイルスは、特定の文字列を含むセキュリティ対策関連Webサイトが閲覧できないようにします。

  詳細

ファイルサイズ 256,000 bytes
メモリ常駐 はい
発見日 2013年8月6日
ペイロード システムセキュリティへの感染活動, HOSTSファイルの改変

侵入方法

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ウイルスは、以下のフォルダを追加します。

  • %Windows%\{random number 3}
  • %System%\{random number 5}a
  • %User Profile%\Templates\{random number 8}

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)

ウイルスは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Windows%\lsass.exe
  • %Windows%\l{random number 1}.exe
  • %Windows%\{random number 2}.exe
  • %Windows%\{random number 3}\smss.exe
  • %Windows%\{random number 3}\system.exe
  • %Windows%\{random number 3}\bb{random number 4}l.com
  • %System%\{random number 5}a\c{ random number 6}.cmd
  • %System%\{random number 7}l.exe
  • %System%\moonlight.scr
  • %User Profile%\Templates\{random number 8}\{random number 9}.exe
  • %User Profile%\Templates\{random number 8}\service.exe
  • %User Profile%\Templates\{random number 8}\winlogon.exe

ウイルスは、以下のファイルを作成します。

  • %Windows%\MoonLight.txt - contains notes from the malware author

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

ウイルスは、以下のプロセスにコードを組み込みます。

  • winlogon.exe

自動実行方法

ウイルスは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random number 10} = "%Windows%\l{random number 1}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random number 11} = "%System%\{random number 7}l.exe"

他のシステム変更

ウイルスは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
titta\version

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
untukmu2\version

ウイルスは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
titta\version
me = "4"

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
untukmu2\version
me = "4"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
regedit.exe
debugger = "%Windows%\notepad.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
msconfig.exe
debugger = "%Windows%\notepad.exe"

ウイルスは、以下のレジストリ値を変更します。

HKEY_CLASSES_ROOT\scrfile
(Default) = "File Folder"

(註:変更前の上記レジストリ値は、「Screen Saver」となります。)

HKEY_CLASSES_ROOT\exefile
(Default) = "File Folder"

(註:変更前の上記レジストリ値は、「Application」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
exefile
(Default) = "File Folder"

(註:変更前の上記レジストリ値は、「Application」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
scrfile
(Default) = "File Folder"

(註:変更前の上記レジストリ値は、「Screen Saver」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "explorer.exe, "%User Profile%\Templates\{random number 8}\{random number 9}.exe""

(註:変更前の上記レジストリ値は、「Explorer.exe」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot
AlternateShell = "{random number 7}l.exe"

(註:変更前の上記レジストリ値は、「cmd.exe」となります。)

ウイルスは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
\??\%System%\winlogon.exe = "\??\%System%\winlogon.exe:*:enabled:@shell32.dll,-1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\lsass.exe = "%Windows%\lsass.exe:*:Enabled:lsass"

ファイル感染

ウイルスは、以下の形式のファイルに感染します。

  • .EXE
  • .SCR

ウイルスは、ファイル名に以下の文字列を含むファイルには感染しません。

  • OTSP
  • WC32
  • WCUN
  • WINC

ウイルスは、以下のファイルには感染しません。

  • .DLL files
  • PE Files with _win section name
  • Files with infection marker

バックドア活動

ウイルスは、以下のいずれかのIRCサーバに接続します。

  • ru.{BLOCKED}s.pl
  • core.{BLOCKED}axy.pl

HOSTSファイルの改変

ウイルスは、WindowsのHOSTSファイルに以下の文字列を追加します。

  • 127.0.0.1 jL.{BLOCKED}a.pl
  • 127.0.0.1 www.{BLOCKED}z.pl

その他

ウイルスは、以下の文字列を含むセキュリティ対策関連Webサイトが閲覧できないようにします。

  • rootkit
  • securecomputing
  • sophos
  • spamhaus
  • spyware
  • sunbelt
  • symantec
  • threatexpert
  • trendmicro
  • virus
  • ahnlab
  • arcabit
  • avast
  • avg
  • avira
  • castlecops
  • centralcommand
  • clamav
  • comodo
  • computerassociates
  • cpsecure
  • defender
  • drweb
  • emsisoft
  • esafe
  • eset
  • etrust
  • ewido
  • fortinet
  • f-prot
  • f-secure
  • gdata
  • grisoft
  • hacksoft
  • hauri
  • ikarus
  • jotti
  • k7computing
  • kaspersky
  • malware
  • mcafee
  • networkassociates
  • nod32
  • norman
  • norton
  • panda
  • pctools
  • prevx
  • quickheal
  • rising

  対応方法

対応検索エンジン: 9.300
初回 VSAPI パターンバージョン 10.204.07
初回 VSAPI パターンリリース日 2013年8月8日
VSAPI OPR パターンバージョン 10.205.00
VSAPI OPR パターンリリース日 2013年8月9日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「PE_VIRUX.MEO-O」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

不明なレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software
    • VB and VBA Program Settings

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Windows%\MoonLight.txt

手順 6

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Windows%\{random number 3}
  • %System%\{random number 5}a
  • %User Profile%\Templates\{random number 8}

手順 7

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • {random number 10} = "%Windows%\l{random number 1}.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {random number 11} = "%System%\{random number 7}l.exe"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • \??\%System%\winlogon.exe = "\??\%System%\winlogon.exe:*:enabled:@shell32.dll,-1"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %Windows%\lsass.exe = "%Windows%\lsass.exe:*:Enabled:lsass"

手順 8

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CLASSES_ROOT\scrfile
    • From: (Default) = "File Folder"
      To: (Default) = Screen Saver
  • In HKEY_CLASSES_ROOT\exefile
    • From: (Default) = "File Folder"
      To: (Default) = Application
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
    • From: (Default) = "File Folder"
      To: (Default) = Application
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
    • From: (Default) = "File Folder"
      To: (Default) = Screen Saver
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • From: Shell = "explorer.exe, "%User Profile%\Templates\{random number 8}\{random number 9}.exe""
      To: Shell = Explorer.exe
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
    • From: AlternateShell = "{random number 7}l.exe"
      To: AlternateShell = cmd.exe

手順 9

不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。

[ 詳細 ]
    • 127.0.0.1 www.{BLOCKED}z.pl
    • 127.0.0.1 jL.{BLOCKED}a.pl

手順 10

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「PE_VIRUX.MEO-O」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください