製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
W32/Perrun
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4208
対応定義ファイル
(現在必要とされるバージョン)
4208 (現在7600)
対応エンジン4.1.50以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日02/06/14
発見日(米国日付)02/06/13
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 




概要TOPに戻る

ウイルスの特徴TOPに戻る
  • W32/Perrun は、JPEG ファイルに付加するウイルスとして初めて報告されたものです。このウイルスは、複数のコンポーネントから成り、感染した JPEG ファイルからウイルス本体を抽出(および実行)するために抽出コンポーネントを必要とします。
  • 感染した JPEG は、感染していないマシン、つまり抽出コンポーネントがインストールされていない(レジストリでフックされていない)マシンでは複製できません。
  • 定義ファイル 4185 以降を使用し、ヒューリスティックスキャンを有効にすると、ウイルス本体(11,780バイト PE)とその抽出コンポーネントの両方が、W32/Alcop@MM というウイルスまたはその亜種として検出されます。
  • このウイルスは、概念の実証であり、一般には出回っていません。
  • このウイルスの作者は、.TXT 拡張子をもつテキストファイルを標的にした .b 亜種を作成しています。
  • .b 亜種の機能はほとんど基の W32/Perrun と同じで、使われているファイル名に多少の違いがあります。
  • この亜種も定義ファイル 4185 以降で、ヒューリスティックスキャンを有効にすると、W32/Alcop@MM というウイルスまたはその亜種として検出されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • システム レジストリ キーが下記のように改ざんされる。
  • JPEG ファイルのサイズが 11,780 バイト増大する。
  • TXT ファイルのサイズが 11,780 バイト増大する。

感染方法TOPへ戻る
  • このウイルスは、11,780 バイトの PE ファイルとして届きます。ターゲット マシンで起動すると、5,636 バイトの抽出コンポーネント (EXTRK.EXE) が、(カレント ディレクトリに)落とし込まれます。これらのファイルはともに Visual Basic 6 で作成され、UPX で圧縮されています。JPEG ファイルの実行がフックされるように、レジストリ キーが次のように改ざんされます。

    HKEY_CLASSES_ROOT\jpegfile\shell\open\command"(デフォルト)" = (カレント ディレクトリ)\EXTRK.EXE %1

  • その後、JPEG ファイルが実行されると、抽出コンポーネントは、ファイルが感染しているかどうか確認します。感染している場合、ウイルス本体が抽出、実行されます。カレント ディレクトリの JPEG のみに感染し、また1回の感染サイクルで1個のファイルのみに感染します。次に抽出コンポーネントは、システム DLL を使用して JPEG を表示しようとします。
  • .b 亜種は、抽出コンポーネントに TEXTRK.EXE というファイル名を使用し、レジストリキーが次のように改ざんされます。

    HKEY_CLASSES_ROOT\txtfile\shell\open\command"(デフォルト)" = (カレント ディレクトリ)\EXTRK.EXE %1

駆除方法TOPへ戻る