ウイルス情報

ウイルス名 危険度

W32/Perrun

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4208
対応定義ファイル
(現在必要とされるバージョン)
4208 (現在7659)
対応エンジン 4.1.50以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 02/06/14
発見日(米国日付) 02/06/13
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


概要

TOPへ戻る

ウイルスの特徴

  • W32/Perrun は、JPEG ファイルに付加するウイルスとして初めて報告されたものです。このウイルスは、複数のコンポーネントから成り、感染した JPEG ファイルからウイルス本体を抽出(および実行)するために抽出コンポーネントを必要とします。
  • 感染した JPEG は、感染していないマシン、つまり抽出コンポーネントがインストールされていない(レジストリでフックされていない)マシンでは複製できません。
  • 定義ファイル 4185 以降を使用し、ヒューリスティックスキャンを有効にすると、ウイルス本体(11,780バイト PE)とその抽出コンポーネントの両方が、W32/Alcop@MM というウイルスまたはその亜種として検出されます。
  • このウイルスは、概念の実証であり、一般には出回っていません。
  • このウイルスの作者は、.TXT 拡張子をもつテキストファイルを標的にした .b 亜種を作成しています。
  • .b 亜種の機能はほとんど基の W32/Perrun と同じで、使われているファイル名に多少の違いがあります。
  • この亜種も定義ファイル 4185 以降で、ヒューリスティックスキャンを有効にすると、W32/Alcop@MM というウイルスまたはその亜種として検出されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • システム レジストリ キーが下記のように改ざんされる。
  • JPEG ファイルのサイズが 11,780 バイト増大する。
  • TXT ファイルのサイズが 11,780 バイト増大する。

TOPへ戻る

感染方法

  • このウイルスは、11,780 バイトの PE ファイルとして届きます。ターゲット マシンで起動すると、5,636 バイトの抽出コンポーネント (EXTRK.EXE) が、(カレント ディレクトリに)落とし込まれます。これらのファイルはともに Visual Basic 6 で作成され、UPX で圧縮されています。JPEG ファイルの実行がフックされるように、レジストリ キーが次のように改ざんされます。

    HKEY_CLASSES_ROOT\jpegfile\shell\open\command"(デフォルト)" = (カレント ディレクトリ)\EXTRK.EXE %1

  • その後、JPEG ファイルが実行されると、抽出コンポーネントは、ファイルが感染しているかどうか確認します。感染している場合、ウイルス本体が抽出、実行されます。カレント ディレクトリの JPEG のみに感染し、また1回の感染サイクルで1個のファイルのみに感染します。次に抽出コンポーネントは、システム DLL を使用して JPEG を表示しようとします。
  • .b 亜種は、抽出コンポーネントに TEXTRK.EXE というファイル名を使用し、レジストリキーが次のように改ざんされます。

    HKEY_CLASSES_ROOT\txtfile\shell\open\command"(デフォルト)" = (カレント ディレクトリ)\EXTRK.EXE %1

TOPへ戻る

駆除方法

TOPへ戻る