• オンライン購入
  1. /
  2. セキュリティレスポンス/
  3. W32.Virut
  4. W32.Virut
  • ブックマーク

W32.Virut

危険度2: 低

発見日:
2007 年 4 月 11 日
更新日:
2013 年 7 月 11 日 8:22:22 AM
種別:
Worm
感染サイズ:
不定
影響を受けるシステム:
Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP
CVE 識別番号:
CVE-2005-2127, CVE-2006-3730, CVE-2006-4690, CVE-2006-4777, CVE-2007-0018, CVE-2007-0071, CVE-2008-2463, CVE-2008-4844, CVE-2009-0658
W32.Virut は、実行可能ファイルに感染するウイルスです。このウイルスの亜種で、ASP、HTML、および PHP ファイルに感染するものもあります。このウイルスにはワームのような特徴があり、固定ドライブ、リムーバブルドライブ、ネットワークドライブに自分自身をコピーすることにより拡散します。また、侵入先のコンピュータのバックドアを開きます。

感染
W32.Virut は、EPO (entry-point obscuring) 機能を備えたファイル感染型の多形態ウイルスです。このウイルスは、システム API をフックして .exe と .scr 拡張子を持つ実行可能ファイルに感染します。ファイルはアクセスされるたびに感染します。W32.Virut に感染した実行可能ファイルはダメージを受けている可能性があるため、正しく実行されないこともあります。

特定の W32.Virut の亜種は、ASP、HTML、および PHP ファイルにも感染します。 このウイルスは、それらのファイルに悪質な HTML IFRAME タグを挿入し、攻撃を受けやすい Web ブラウザにそのページが表示されたときに自分自身のコピーがダウンロードされて実行されるようにします。

また、W32.Virut にはワームのような特徴があり、固定ドライブ、リムーバブルドライブ、ネットワークドライブに自分自身をコピーすることにより拡散しようと試みます。さらに、このウイルスは autorun.inf ファイルをコピーして、AutoPlay 機能が有効になっているコンピュータ上のドライブがアクセスされるたびに自分自身が実行されるようにします。

このウイルスは、ファイル共有ネットワークを介して感染ファイルが配布されるときに拡散する可能性もあります。

機能
W32.Virut は、侵入先のコンピュータでリモートの攻撃者が操作を実行できるようにバックドアを開きます。バックドアは、双方向で暗号化された IRC (Internet Relay Chat) 通信を利用して機能します。このバックドアにより、リモートの攻撃者は侵入先のコンピュータに対して、個別に、またはグループとして対応することができます。

バックドア機能を利用して、侵入先のコンピュータに追加のファイルをダウンロードして実行することができます。これは、この脅威が永遠にフレキシブルで拡張可能であることを意味します。ダウンロードが確認されたファイルには、ミスリーディングアプリケーションやその他のマルウェアのコピーも含まれます。W32.Virut は、アフィリエイトプログラムなどで収益を得られるように、作成者にペイパーインストール (pay-per-install) ソフトウェアの大量インストール用チャネルを提供するために記述された可能性があります。


地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。





感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。


シマンテックの保護対策サマリー
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。

ウイルス対策シグネチャ


ウイルス対策 (ヒューリスティック/汎用)

ブラウザ保護
シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。

侵入防止システム (英語)

ウイルス対策日

  • Rapid Release 初回バージョン2007 年 4 月 12 日
  • Rapid Release 最新バージョン2013 年 2 月 19 日 リビジョン016
  • Daily Certified 初回バージョン2007 年 4 月 12 日
  • Daily Certified 最新バージョン2011 年 3 月 2 日 リビジョン039
  • Weekly Certified 初回リリース日2007 年 4 月 18 日
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

危険性の評価

被害状況

  • 被害レベル:High
  • 感染台数:50 - 999
  • 感染報告数:10+
  • 地域危険度:Low
  • 対処レベル:Easy
  • 駆除:Moderate

ダメージ

  • ダメージレベル:Medium
  • 発病症状:バックドアを開いてファイルをダウンロードする
  • ファイル改ざん:hosts ファイルを改ざんする
  • システムの不安定化:Windows システムの実行可能ファイルが感染によりダメージを受ける可能性がある
  • 不正アクセス:Windows ファイアウォールをバイパスする

感染力

  • 感染力レベル:Medium
  • 共有ドライブ:固定ドライブ、リムーバブルドライブ、ネットワークドライブに自分自身をコピーする
  • 感染対象:.exe または .scr 拡張子を持つ実行可能ファイルと、ASP、HTML、および PHP ファイル
記述:Henry Bell and Eric Chien
危険性の評価| テクニカルノート| 駆除方法
スパムレポート