W32.Virut は、実行可能ファイルに感染するウイルスです。このウイルスの亜種で、ASP、HTML、および PHP ファイルに感染するものもあります。このウイルスにはワームのような特徴があり、固定ドライブ、リムーバブルドライブ、ネットワークドライブに自分自身をコピーすることにより拡散します。また、侵入先のコンピュータのバックドアを開きます。
感染W32.Virut は、EPO (entry-point obscuring) 機能を備えたファイル感染型の多形態ウイルスです。このウイルスは、システム API をフックして .exe と .scr 拡張子を持つ実行可能ファイルに感染します。ファイルはアクセスされるたびに感染します。W32.Virut に感染した実行可能ファイルはダメージを受けている可能性があるため、正しく実行されないこともあります。
特定の W32.Virut の亜種は、ASP、HTML、および PHP ファイルにも感染します。 このウイルスは、それらのファイルに悪質な HTML IFRAME タグを挿入し、攻撃を受けやすい Web ブラウザにそのページが表示されたときに自分自身のコピーがダウンロードされて実行されるようにします。
また、W32.Virut にはワームのような特徴があり、固定ドライブ、リムーバブルドライブ、ネットワークドライブに自分自身をコピーすることにより拡散しようと試みます。さらに、このウイルスは autorun.inf ファイルをコピーして、AutoPlay 機能が有効になっているコンピュータ上のドライブがアクセスされるたびに自分自身が実行されるようにします。
このウイルスは、ファイル共有ネットワークを介して感染ファイルが配布されるときに拡散する可能性もあります。
機能W32.Virut は、侵入先のコンピュータでリモートの攻撃者が操作を実行できるようにバックドアを開きます。バックドアは、双方向で暗号化された IRC (Internet Relay Chat) 通信を利用して機能します。このバックドアにより、リモートの攻撃者は侵入先のコンピュータに対して、個別に、またはグループとして対応することができます。
バックドア機能を利用して、侵入先のコンピュータに追加のファイルをダウンロードして実行することができます。これは、この脅威が永遠にフレキシブルで拡張可能であることを意味します。ダウンロードが確認されたファイルには、ミスリーディングアプリケーションやその他のマルウェアのコピーも含まれます。W32.Virut は、アフィリエイトプログラムなどで収益を得られるように、作成者にペイパーインストール (pay-per-install) ソフトウェアの大量インストール用チャネルを提供するために記述された可能性があります。
地理的分布シマンテックでは、この脅威について、次の地理的分布を観測しています。
感染率シマンテックでは、この脅威について、次の感染レベルを観測しています。
シマンテックの保護対策サマリーシマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。
ウイルス対策シグネチャウイルス対策 (ヒューリスティック/汎用)ブラウザ保護シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。
侵入防止システム (英語)
