PE_VIRUX.AA-1
Symantec : W32.Changeup; Microsoft : Virus:Win32/Virut.BI;Mcafee: W32/Virut.n.gen
Windows 2000, XP, Server 2003
- マルウェアタイプ: ファイル感染型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。 ウイルスは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
ウイルスは、IRCサーバに接続します。
詳細
侵入方法
ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。
ウイルスは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
インストール
ウイルスは、以下の通常のプロセスにスレッドを組み込みます。
- WINLOGON.EXE
他のシステム変更
ウイルスは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_USERS\.DEFAULT\SOFTWARE\
Microsoft\Windows\CurrentVersion\
Explorer
UpdateHost = {random binary value}
ウイルスは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
\??\%System%\winlogon.exe = \??\%System\winlogon.exe:*:enabled:@shell32.dll,-1
ファイル感染
ウイルスは、以下の形式のファイルに感染します。
- EXE
- SCR
ウイルスは、ファイル名に以下の文字列を含むファイルには感染しません。
- OTSP
- WC32
- WCUN
- WINC
バックドア活動
ウイルスは、以下のいずれかのIRCサーバに接続します。
- ilo.{BLOCKED}z.pl
- ant.{BLOCKED}z.pl
HOSTSファイルの改変
ウイルスは、WindowsのHOSTSファイルに以下の文字列を追加します。
- 127.0.0.1 www.{BLOCKED}z.pl
その他
このウイルスのコードから、ウイルスは、以下の機能を備えています。
- This file infector infects target host files via EPO-Appending infection technique.
- It hooks the following APIs so that when these APIs are called, the virus code is executed which will then infect files:
- NtCreateFile
- NtOpenFile
- NtCreateProcess
- NtCreateProcessEx
- NtQueryInformationProcess
- It does not infect files with the following characteristics:
- .DLL files
- PE Files with _win section name
- Files with infection marker
- It also infects script files by first checking if the target script file's extension name is any of the following:
- ASP
- HTM
- PHP
- Once it finds target script files, it creates a flag for the file for iFrame infection. It opens flagged files then checks for a certain string in the file. If it finds that string, it skips the file. If not, then it proceeds with the infection of the file.
- It then looks for the string