Trend Micro Security

PE_VIRUX

2013年5月24日

 別名:

Virut

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ファイル感染型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 ファイルに感染, 共有ネットワークフォルダを介した感染活動, リムーバブルドライブを介した感染活動

VIRUX」ファミリは、2009年初頭に注目を集めました。このファイル感染型ウイルス「VIRUX」ファミリは、リムーバブルドライブおよびネットワーク共有フォルダを介して拡散します。そして、感染コンピュータに対し脆弱性を利用します。また「VIRUX」ファミリの亜種は、ソフトウェアのライセンス/シリアル番号やキー生成プログラム、プログラムをクラッキングするためのツールを提供するサイトにおいて確認されてきました。

多くのファイル感染型ウイルスは、1種類の手法を利用しファイル感染を行うのに対し、「VIRUX」ファミリの亜種は、2種類以上の手法を組み合わせて利用することでファイル感染を行います。このため、この「VIRUX」ファミリの検出や削除が困難となります。さらに「VIRUX」ファミリの亜種は、EXEやSCR、ASP、HTM、PHPといったファイルタイプに感染します。また特定の「VIRUX」ファミリの亜種は、スクリプトファイルに感染するために、不正な "iframe" コードを挿入します。

実行されると、「VIRUX」ファミリの亜種は、IRCサーバへ接続します。そして、不正なコマンドを受信し、URLをダウンロードします。このURLは、「FAKEAV」ファミリの亜種を含む他のマルウェアの感染をもたらします。

「VIRUX」ファミリの亜種は、セキュリティに関連するアプリケーションを終了し、Windows ファイアウォールやセキュリティに関するプラグインを無効にします。またなかには、感染コンピュータのHOSTSファイルを修正し、ウイルス対策製品関連サイトへのアクセスを阻止する亜種もあります。これによって、感染コンピュータからの削除を回避します。


  詳細

メモリ常駐 はい
ペイロード ファイルのダウンロード, システムセキュリティへの感染活動, HOSTSファイルの改変

インストール

ウイルスは、以下のファイルを作成します。

  • %Windows%\{random file name}.exe

(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

他のシステム変更

ウイルスは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random registry key name}

ウイルスは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
\??\%System%\winlogon.exe = "\??\%System%\winlogon.exe:*:enabled:@shell32.dll,-1"

バックドア活動

ウイルスは、以下のいずれかのIRCサーバに接続します。

  • irc.{BLOCKEDf.pl

HOSTSファイルの改変

ウイルスは、WindowsのHOSTSファイルに以下の文字列を追加します。

  • 127.0.0.1 {BLOCKED}F.pl
  • 127.0.0.1 jL.{BLOCKED}a.pl

その他

「VIRUX」ファミリの亜種は、ランダムに生成されるドメインを利用し、コマンド&コントロール(C&C)サーバへ接続します。生成されるドメインは、以下のとおりです。

  • <ランダムな6文字>.com


  対応方法

対応検索エンジン: 9.200
VSAPI OPR パターンバージョン 9.767.00
VSAPI OPR パターンリリース日 2013年3月5日

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください