PE_VIRUX.M
Virus:Win32/Virut.gen!M (Microsoft), W32.Virut.CF (Norton), W32/Scribble-B (Sophos), Virus.Win32.Virut.ce (v) (Sunbelt), W32/Virut.CE (Fortinet), Virus.Win32.Virut (Ikarus), Win32/Virut.NBP virus (NOD32)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: ファイル感染型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
詳細
侵入方法
ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
他のシステム変更
ウイルスは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\0001\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "0"
(註:変更前の上記レジストリ値は、「"1" 」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\Current\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "0"
(註:変更前の上記レジストリ値は、「"1" 」となります。)
HKEY_CURRENT_CONFIG\Software\Microsoft\
windows\CurrentVersion\Internet Settings
ProxyEnable = "0"
(註:変更前の上記レジストリ値は、「"1"」となります。)
ウイルスは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
\??\%System%\winlogon.exe = "\??\%System%\winlogon.exe:*:enabled:@shell32.dll,-1"
ファイル感染
ウイルスは、以下の形式のファイルに感染します。
- EXE
- SCR
感染活動
ウイルスは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- RUNDLL32.EXE
ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[autorun]
open=RUNDLL32.EXE
その他
ウイルスは、以下の不正なWebサイトにアクセスします。
- ru.{BLOCKED}s.pl