Trend Micro Security

PE_VIRUX.AA-1

2014年6月6日
 解析者: jasperm   

 別名:

Symantec : W32.Changeup; Microsoft : Virus:Win32/Virut.BI;Mcafee: W32/Virut.n.gen

 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ファイル感染型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 ファイルに感染

ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。 ウイルスは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ウイルスは、IRCサーバに接続します。


  詳細

ファイルサイズ 不定
タイプ PE
メモリ常駐 はい
発見日 2010年7月27日
ペイロード システムセキュリティへの感染活動, HOSTSファイルの改変

侵入方法

ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。

ウイルスは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

ウイルスは、以下の通常のプロセスにスレッドを組み込みます。

  • WINLOGON.EXE

他のシステム変更

ウイルスは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_USERS\.DEFAULT\SOFTWARE\
Microsoft\Windows\CurrentVersion\
Explorer
UpdateHost = {random binary value}

ウイルスは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
\??\%System%\winlogon.exe = \??\%System\winlogon.exe:*:enabled:@shell32.dll,-1

ファイル感染

ウイルスは、以下の形式のファイルに感染します。

  • EXE
  • SCR

ウイルスは、ファイル名に以下の文字列を含むファイルには感染しません。

  • OTSP
  • WC32
  • WCUN
  • WINC

バックドア活動

ウイルスは、以下のいずれかのIRCサーバに接続します。

  • ilo.{BLOCKED}z.pl
  • ant.{BLOCKED}z.pl

HOSTSファイルの改変

ウイルスは、WindowsのHOSTSファイルに以下の文字列を追加します。

  • 127.0.0.1 www.{BLOCKED}z.pl

その他

このウイルスのコードから、ウイルスは、以下の機能を備えています。

  • This file infector infects target host files via EPO-Appending infection technique.
  • It hooks the following APIs so that when these APIs are called, the virus code is executed which will then infect files:
    • NtCreateFile
    • NtOpenFile
    • NtCreateProcess
    • NtCreateProcessEx
    • NtQueryInformationProcess
  • It does not infect files with the following characteristics:
    • .DLL files
    • PE Files with _win section name
    • Files with infection marker
  • It also infects script files by first checking if the target script file's extension name is any of the following:
    • ASP
    • HTM
    • PHP
  • Once it finds target script files, it creates a flag for the file for iFrame infection. It opens flagged files then checks for a certain string in the file. If it finds that string, it skips the file. If not, then it proceeds with the infection of the file.
  • It then looks for the string in the target script file. Once found, it infects script files by inserting the malicious iframe code below:
  • It returns execution to the host file's original code after execution. Infected script files are detected as HTML_IFRAME.SMV.
  • It connects to the said servers using 8-randomly generated character for its NICK and 1-randomly generated character for its USER.
  • Once connected to the IRC server, it joins a certain channel to receive and execute commands on the affected system. As of this writing, no backdoor command has been received from the servers.


  対応方法

対応検索エンジン: 8.900
VSAPI OPR パターンバージョン 7.341.00
VSAPI OPR パターンリリース日 2010年7月27日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「PE_VIRUX.AA-1」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)

     HTML_IFRAME.SMV

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    • UpdateHost = {random binary value}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
    • \??\System\winlogon.exe = \??\Ͽstem\winlogon.exe:*:enabled:@shell32.dll,-1

手順 5

不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。

[ 詳細 ]

    127.0.0.1 www.{BLOCKED}z.pl

手順 6

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「PE_VIRUX.AA-1」と検出したファイルの駆除を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください