発見日: April 11, 2007
更新日: July 11, 2013 8:22:22 AM
種別: Worm
感染サイズ: 不定
影響を受けるシステム: Windows
CVE 識別番号: CVE-2005-2127 | CVE-2006-3730 | CVE-2006-4690 | CVE-2006-4777 | CVE-2007-0018 | CVE-2007-0071 | CVE-2008-2463 | CVE-2008-4844 | CVE-2009-0658

W32.Virut は、実行可能ファイルに感染するウイルスです。このウイルスの亜種で、ASP、HTML、および PHP ファイルに感染するものもあります。このウイルスにはワームのような特徴があり、固定ドライブ、リムーバブルドライブ、ネットワークドライブに自分自身をコピーすることにより拡散します。また、侵入先のコンピュータのバックドアを開きます。

感染
W32.Virut は、EPO (entry-point obscuring) 機能を備えたファイル感染型の多形態ウイルスです。このウイルスは、システム API をフックして .exe と .scr 拡張子を持つ実行可能ファイルに感染します。ファイルはアクセスされるたびに感染します。W32.Virut に感染した実行可能ファイルはダメージを受けている可能性があるため、正しく実行されないこともあります。

特定の W32.Virut の亜種は、ASP、HTML、および PHP ファイルにも感染します。 このウイルスは、それらのファイルに悪質な HTML IFRAME タグを挿入し、攻撃を受けやすい Web ブラウザにそのページが表示されたときに自分自身のコピーがダウンロードされて実行されるようにします。

また、W32.Virut にはワームのような特徴があり、固定ドライブ、リムーバブルドライブ、ネットワークドライブに自分自身をコピーすることにより拡散しようと試みます。さらに、このウイルスは autorun.inf ファイルをコピーして、AutoPlay 機能が有効になっているコンピュータ上のドライブがアクセスされるたびに自分自身が実行されるようにします。

このウイルスは、ファイル共有ネットワークを介して感染ファイルが配布されるときに拡散する可能性もあります。

機能
W32.Virut は、侵入先のコンピュータでリモートの攻撃者が操作を実行できるようにバックドアを開きます。バックドアは、双方向で暗号化された IRC (Internet Relay Chat) 通信を利用して機能します。このバックドアにより、リモートの攻撃者は侵入先のコンピュータに対して、個別に、またはグループとして対応することができます。

バックドア機能を利用して、侵入先のコンピュータに追加のファイルをダウンロードして実行することができます。これは、この脅威が永遠にフレキシブルで拡張可能であることを意味します。ダウンロードが確認されたファイルには、ミスリーディングアプリケーションやその他のマルウェアのコピーも含まれます。W32.Virut は、アフィリエイトプログラムなどで収益を得られるように、作成者にペイパーインストール (pay-per-install) ソフトウェアの大量インストール用チャネルを提供するために記述された可能性があります。


地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。





感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。


シマンテックの保護対策サマリー
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。

ウイルス対策シグネチャ


ウイルス対策 (ヒューリスティック/汎用)

ブラウザ保護
シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。

侵入防止システム (英語)

ウイルス対策日

  • Rapid Release 初回バージョン April 12, 2007
  • Rapid Release 最新バージョン May 05, 2018 リビジョン 025
  • Daily Certified 初回バージョン April 12, 2007
  • Daily Certified 最新バージョン May 06, 2018 リビジョン 009
  • Weekly Certified 初回リリース日 April 18, 2007

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Henry Bell and Eric Chien

発見日: April 11, 2007
更新日: July 11, 2013 8:22:22 AM
種別: Worm
感染サイズ: 不定
影響を受けるシステム: Windows
CVE 識別番号: CVE-2005-2127 | CVE-2006-3730 | CVE-2006-4690 | CVE-2006-4777 | CVE-2007-0018 | CVE-2007-0071 | CVE-2008-2463 | CVE-2008-4844 | CVE-2009-0658

1. 防御と回避
1.1 ユーザーの対処と予防策
1.2 リムーバブルドライブ
1.3 ネットワークドライブ
1.4 オペレーティングシステムとソフトウェアへのパッチの適用
1.5 ブロックするネットワークアドレス
2. 感染方法
2.1 .exe ファイルと .scr ファイルへの感染
2.2 .asp ファイル、.htm ファイル、.php ファイルへの感染
3. 機能
3.1 システムの変更
3.2 ネットワーク関連操作
3.3 その他の機能
4. 追加情報




1. 防御と回避
この脅威によるリスクを回避または最小限にするために、次のアクションを実行してください。


1.1 ユーザーの対処と予防策
ファイル共有ネットワークからダウンロードしたファイルなど、信頼できないソースから入手したファイルを実行しないようにしてください。感染したファイルは、ファイル共有が感染していることに気付かないで共有されている可能性があります。感染が確認されているファイルも、収益を上げることを目的としてこの脅威の感染レベルを高めようとする人々によって共有されている可能性があります。このようなファイルには、意図的に、高級な名前、人気のある名前、または成人向けの名前などが付けられる可能性があります。


1.2 リムーバブルドライブ
このウイルスは、すべての固定ドライブとリムーバブルドライブに自分自身をコピーします。リムーバブルドライブは、使用しないときは切断し、書き込みアクセスが不要なときは、読み取り専用モードのオプションを利用できる場合はそれを有効にします。このウイルスは autorun.inf ファイルを使用してドライブがアクセスされたときに自動的に自分自身が実行されるようにするため、AutoPlay 機能を無効にしておくことを推奨します。


1.3 ネットワークドライブ
W32.Virut は、ネットワーク共有を介して拡散することが確認されています。感染のリスクを軽減するために、ネットワーク共有は必要なときだけ開くようにし、不要なときはファイル共有も無効にします。ファイル共有が必要な環境では、可能であればアクセス許可を「読み取り専用」に設定します。リムーバブルドライブを使用していない場合でも、autorun.inf ファイルは同じ方法でネットワーク共有で動作するため、AutoPlay 機能を無効にしておきます。


1.4 オペレーティングシステムとソフトウェアへのパッチの適用
W32.Virut の亜種に感染した ASP、HTML、および PHP ファイルには、悪質な HTML IFRAME が含まれます。それによって、攻撃を受けやすいコンピュータでそのようなページを表示すると、このウイルスがダウンロードされて実行されるようになります。悪質な URL は、次の脆弱性 (英語) を悪用しようと試みます。


これらの脆弱性に対応したソフトウエアの更新プログラムをインストールすることにより、感染のリスクを軽減することができます。

オペレーティングシステムとインストール済みのソフトウェアに間違いなくパッチが適用されていて、ウイルス対策ソフトウェアおよびファイアウォールソフトウェアが最新の状態で動作可能であることを確認してください。可能であれば自動更新を有効にし、ソフトウェア会社から最新のパッチや更新プログラムが配布されたときにコンピュータが受信できるようにしておきます。


1.5 ブロックするネットワークアドレス
W32.Virut は、次のネットワークアドレスに接続することが確認されているため、ファイアウォールやルーターを利用してブロックします。
  • core.ircgalaxy.pl (172.24.8.111)
  • irc.zief.pl
  • proxim.ircgalaxy.pl
  • ru.brans.pl (218.93.205.30)

Windows ファイアウォールをバイパスしようと試みる亜種も存在します。



2. 感染方法
この脅威は、さまざまな方法でコンピュータに感染することが確認されています。次のセクションでは、それらの方法について詳細に説明します。


2.1 .exe ファイルと .scr ファイルへの感染
W32.Virut は、EPO (entry-point obscuring) 機能を備えたファイル感染型の多形態ウイルスです。このウイルスは、次の NTDLL.DLL の API 関数をフックすることにより .exe や .scr 拡張子を持つ実行可能ファイルに感染します。
  • ZwCreateFile
  • ZwDeviceIoControlFile
  • ZwOpenFile
  • ZwCreateProcess
  • ZwCreateProcessEx
  • ZwQueryInformationProcess

フックは、ファイルにアクセスしたときに感染するために、また、新しく作成されたすべてのプロセスにこのウイルスを挿入するために使用されます。また、Windows ファイル保護機能を無効にしてシステムファイルに感染する亜種も存在します。

ファイル感染のサブルーチンは、特定のファイルに感染する前に次の拡張子をチェックします。
  • .exe
  • .scr

W32.Virut は、感染マーカーを使って、同一ファイルへの複数の感染を防ぎます。感染マーカーの場所は亜種ごとに異なり、そのため、特定の実行可能ファイルは W32.Virut の異なる亜種によって複数回感染している可能性もあります。

実行可能ファイルに感染するとき、このウイルスは自分自身を多様に暗号化してそのファイルに挿入し、プログラムのエントリポイントを変更するか(自分自身をポイントするように)、ホスト実行可能ファイルにパッチを適用して自分自身のコードに実行をリダイレクトする EPO テクニックを使います。

W32.Virut に感染した実行可能ファイルはダメージを受けている可能性があるため、正しく実行されないこともあります。


2.2 .asp、.htm、.php ファイルへの感染
悪質な HTML を挿入する機能を備えた亜種は、ファイルにアクセスしたときに次の拡張子をチェックします。
  • .asp
  • .htm
  • .html
  • .php

このウイルスは、上記の拡張子を持つファイルに IFRAME を挿入します。IFRAME は、侵入先のコンピュータでその HTML ページが表示されたとき、または HTTP を介して提供された後で、ブラウザを悪質な URL に誘導します。



W32.Virut の亜種は、.asp、.htm、.html、および .php ファイルに次の悪質な URL を挿入することが確認されています。
  • http://ntkrnlpa.info/rc/?i=[エクスプロイト ID]
  • http://www.zief.pl/install.php?id=[エクスプロイト ID]
  • http://www.zief.pl/rc/ld.php?[エクスプロイト ID]
  • http://zief.pl/exploit/[エクスプロイト ID]
  • http://zief.pl/install.php?id=[エクスプロイト ID]

上記の URL にアクセスすると、悪質な URL は次の脆弱性 (英語) を 1 つ以上悪用して、W32.Virut をダウンロードして実行し、再度感染サイクルを開始しようと試みます。



3. 機能
W32.Virut は、バックドアを開いて、リモートの攻撃者が侵入先のコンピュータにファイルをダウンロードして実行できるようにします。このバックドアは IRC を介して機能し、非標準の IRC ポート、通常はポート 80 を使ってファイアウォールをバイパスして検出を回避します。このウイルスの IRC サーバーコンポーネントとの通信は、比較的シンプルな独自のアルゴリズムを使って暗号化されます。

IRC を利用することで、バックドア機能はリモートの攻撃者が侵入先のコンピュータに対して、個別に、またはグループとして対応できるようにします。この機能によって、攻撃者は個々のコンピュータを標的とした攻撃 (たとえば、銀行口座のパスワードや他の機密情報を盗み取るなど) や、分散型のサービス拒否攻撃を実行したり、ウイルス作成者や顧客の収益につながる、特定のペイパーインストール (pay-per-install) アプリケーションの大量ダウンロードを発生させることが可能になります。


3.1 システムの変更
W32.Virut 脅威ファミリーによって侵害されたコンピュータでは、次の副次的な影響が観測される可能性があります。

作成されるファイルまたはフォルダ
なし

削除されるファイルまたはフォルダ
なし

変更されるファイルまたはフォルダ
このウイルスは次の拡張子を持つファイルに感染します。
  • .exe
  • .scr

このウイルスの亜種は、次の拡張子を持つファイルにも感染する可能性があります。
  • .asp
  • .htm
  • .html
  • .php

このウイルスは、hosts ファイルに次のエントリを追加する可能性があります。
127.0.0.1 ZieF.pl

作成されるレジストリサブキーまたはレジストリエントリ
このウイルスは次のレジストリエントリを作成して、IRC サーバーの IP アドレスとポート番号を保存します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\"UpdateHost" = "[バイナリデータ]"

特定の亜種は、次のレジストリエントリを作成して Windows ファイアウォールをバイパスします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%SystemDrive%\[ウイルスのパス]\[ウイルスのファイル名]" = "%SystemDrive%\[ウイルスのパス]\[ウイルスのファイル名]:*:enabled:@shell32.dll,-1"

削除されるレジストリサブキーまたはレジストリエントリ
なし

変更されるレジストリサブキーまたはレジストリエントリ
なし


3.2 ネットワーク関連操作
このウイルスは、アクティブな接続が見つかるまで、5 秒おきにインターネット接続をチェックします。続いて、このウイルスにアドレスがハードコードされている 2 つの DNS サーバーを使って IRC C&C サーバーで使用されるドメインを解決しようと試みます。2 つの DNS サーバーが両方とも見つからない場合は、IRC サーバーのアドレスは解決されないか、IRC サーバーへの接続に失敗します。このウイルスは、以前レジストリに保存した「last resort」の IP アドレスとポート番号の組み合わせのバックアップを使って別のサーバーに接続しようと試みます。

IRC サーバーとの通信は、独自の暗号化方式で暗号化されます。ランダムな非対称暗号化キーが生成され、バイトごとの XOR 演算で使われます。このキーは、暗号文の予見可能性を低減するために意図的に摂動されることがあります。

このウイルスは、典型的な IRC ベースの通信プロトコルを使用します。サーバーへの接続で、このウイルスは次の必須 IRC コマンドを送信します。

NICK [8 桁のランダムな文字列]
USER [1 桁のランダムな文字列][OS ID] . . :[%|#][ボリューム ID][ボリューム ID CRC] [OS のサービスパック]
JOIN #.[チャネル ID]

説明:
  • [OS ID] は、オペレーティングシステム (OS) を識別するための 6 バイトの ID で、OS のプラットフォーム、メジャーバージョン、マイナーバージョンを各 2 バイトで表します。たとえば、32 ビット (02) の Windows (05) XP (01) 上で実行しているウイルスのコピーから送信されるコマンドでは、このフィールドは 020501 となります。
  • [%|#] は、感染の更新状況を表す 1 バイトのフィールドです。このウイルスが最初に IRC サーバーに接続したとき、たとえば、レジストリのホストリストが更新される前は「%」が使用され、更新された後は「#」が使用されます。
  • [ボリューム ID] は、侵入先のコンピュータのシステムディスクの 8 バイトのボリューム ID です。
  • [ボリューム ID CRC] は、ボリューム ID の 1 バイト(16 進数) のハッシュ値、(byte1 + byte2 + byte3 + byte4) & 0xF です。
  • [OS サービスパック] は、OS のサービスパックのレベルを特定する文字列、たとえば「Service Pack 2」などです。
  • [チャネル ID] は、参加する IRC チャネルのハードコードされた名前です。

上記コマンドの例を次に示します。

NICK tabrpfpu
USER g020501 . . :%acc55762b Service Pack 2
JOIN #.3159

このウイルスは、サーバーから 2 つの標準 IRC コマンドを受け取ります。1 つ目は、次のコマンドです。

PING [ユーザー]

PING メッセージを受け取ると、このウイルスはカレントサーバーの IP アドレスとポート番号を次のレジストリエントリに保存します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\"UpdateHost" = "[バイナリデータ]"

このウイルスは、このメッセージに PONG メッセージで返信します。

2 つ目は、次のコマンドです。

PRIVMSG [ユーザー] [メッセージ]

このメッセージは、サーバーによって、1 つまたは複数の侵入先のコンピュータのアドレスに送信されます。[メッセージ] フィールドでは、2 つのコマンドがサポートされています。1 つ目のコマンドは、このウイルスに指定された URL でファイルをダウンロードして実行させます。

PRIVMSG [ユーザー] !GET [URL]

2 つ目のコマンドは、このウイルスが内部で使用する IRC サーバーのホスト名リストを更新させます。これによって、ハードコードされたエントリも強制変更されます。

PRIVMSG [ユーザー] !HOST [ホストリスト]

ホストリストが空という特別なケースでは、バックドアが閉じられます。

PRIVMSG [ユーザー] !HOST





4. 追加情報

この脅威ファミリーに関する追加情報については、次のサイトを参照してください。

推奨する感染予防策

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

記述: Henry Bell and Eric Chien

発見日: April 11, 2007
更新日: July 11, 2013 8:22:22 AM
種別: Worm
感染サイズ: 不定
影響を受けるシステム: Windows
CVE 識別番号: CVE-2005-2127 | CVE-2006-3730 | CVE-2006-4690 | CVE-2006-4777 | CVE-2007-0018 | CVE-2007-0071 | CVE-2008-2463 | CVE-2008-4844 | CVE-2009-0658

お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。

次に進む前に、Symantec Full System Scan User Guide (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。



Norton (個人向け) 製品のお客様
お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

駆除ツール


感染した Windows システムファイルがある場合は、Windows のインストール CD を使用してファイルの置き換え が必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。


ビジネス (企業、法人向け) 製品のお客様
お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

疑わしいファイルの特定と提出
提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。


駆除ツール

感染した Windows システムファイルがある場合は、「How to use the Symantec Endpoint Recovery Tool to replace an infected file 」(英語) に記載の手順によるファイルの置き換えが必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。
セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止する



手動による駆除
以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。

1. システムの完全スキャンの実行
Symantec Full System Scan User Guide (英語)


2. レジストリの設定の復元
レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。

記述: Henry Bell and Eric Chien