Trend Micro Security

PE_VIRUX.GEN2-1

2012年10月9日
 解析者: Jasen Sumalapao   

 別名:

Virus:Win32/Virut.BN (Microsoft), W32.Sality!dr (Symantec), W32/Virut.n.gen (NAI), W32/Scribble-B (Sophos), Win32.Virtob.Gen.12 (FSecure), Virus.Win32.Virut.ce.5 (v) (Sunbelt), W32/Virut.AL!Generic (Authentium), Win32.Virtob.Gen.12 (Bitdefender), W32/LPECrypt.A!tr (Fortinet), W32/Virut.AL!Generic (Fprot), Trojan.Sality (Ikarus), Win32/Virut.NBP virus (NOD32), Trojan Sality.dam (Norman), W32/Sality.AK.drp (Panda), Virus.Virut.14 (VBA32)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ファイル感染型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 ウイルスは、ユーザの手動インストールにより、コンピュータに侵入します。


  詳細

ファイルサイズ 不定
発見日 2011年3月25日

侵入方法

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ウイルスは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

ウイルスは、以下のコンポーネントファイルを作成します。

  • {%System Root%}\Documents and Settings\All Users\svchost.exe
  • {%System%}\{random characters}.dll

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

ウイルスは、以下の通常のプロセスにスレッドを組み込みます。

  • winlogon.exe

自動実行方法

ウイルスは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SunJavaUpdateSched = {%System Root%}\Documents and Settings\All Users\svchost.exe

他のシステム変更

ウイルスは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer
UpdateHost = {random value}

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings\Connections
DefaultConnectionSettings = {random value}

ウイルスは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
\??\%System%\winlogon.exe = \??\C:\%System%\winlogon.exe:*:enabled:@shell32.dll,-1

ダウンロード活動

ウイルスは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

  • http://{BLOCKED}7.net