製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:V
ウイルス情報
ウイルス名危険度
W32/Virut
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4948
対応定義ファイル
(現在必要とされるバージョン)
6167 (現在7605)
対応エンジン5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Norman - W32/Virut.GE NOD32 - Win32/Virut.NCFの亜種Ikarus - Virus.Win32.VB Microsoft - Virus:Win32/Sality.AM
情報掲載日2010/11/18
発見日(米国日付)2007/01/24
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/27Generic Down...
10/27RDN/PWS-Mmor...
10/27RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7605
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Virutはポリモルフィックな寄生型ウイルスです。システムのPE、HTMLファイルに感染し、他のマルウェアをダウンロードします。

ファイル情報

  • MD5 - E9B75FDC5E6DAD27643B1B75B33C42AC
  • SHA - DE7B31C6863D1563723B7DB61CBF4186B2F622F1

ウイルスの特徴TOPに戻る

・実行時、W32/VirutはWinlogon.exeにスレッドを挿入し、リモートポート80を介して83.133.[削除].206に接続し、プロセスに悪質なファイルをダウンロードさせます。

・実行時、以下の場所に自身をコピーします。

  • %USERPROFILE%\Desktop\Desktop.exe
  • %USERPROFILE%\Start Menu\Programs\Programs.exe
  • %USERPROFILE%\Start Menu\Start Menu.exe
  • %USERPROFILE%\Documents\My Videos\My Videos.exe
  • %USERPROFILE%\Documents\My Pictures\My Pictures.exe
  • %USERPROFILE%\Documents\My Music\My Music.exe
  • %Windir%\Help\schedl.exe
  • %Windir%\Fonts\services.exe
  • [リムーバブルドライブ]:\D.exe

・システムのすべてのフォルダにフォルダと同じ名前で自身をコピーします。

・また、以下のファイルをドロップ(作成)します。

  • %Windir%\system32\iwmivtva0.exe [Generic.dx!useという名前で検出]
  • %Windir%\system32\iwmivtvay.exe [Generic.dx!useという名前で検出]
  • %Windir%\system32\MSWINSCK.OCX [Generic.dx!ulという名前で検出]
  • %Windir%\system32\wuaucldt.exe [W32/Virut.n.genという名前で検出]
  • %WINDIR%\Temp\uygkr9b.exe [W32/Virut.n.genという名前で検出]
  • %WINDIR%\Temp\msftcore.dll
  • %WINDIR%\Temp\msftldr.dll
  • %WINDIR%\Temp\1ey9.exe [W32/Virut.n.genという名前で検出]
  • %WINDIR%\Temp\msfteml.dll
  • %WINDIR%\Temp\js9asy7q4.exe [W32/Virut.n.genという名前で検出]
  • %WINDIR%\Temp\msftstp.exe [Generic.dx!upmという名前で検出]
  • %WINDIR%\Temp\msftdm.exe [W32/Virut.n.genという名前で検出]
  • %WINDIR%\Temp\msftdm32.exe [W32/Virut.n.genという名前で検出]
  • %WINDIR%\Temp\msfttcp.dll [Generic.dx!uouという名前で検出]
  • [リムーバブルドライブ]:\hqsm.cmd [W32/Sality.genという名前で検出]
  • C:\autorun.inf

・また、すべてのリムーバブルドライブ、マップされたドライブのルートにautorun.infファイルをドロップ(作成)し、ドライブアクセス時に実行ファイルが自動的に実行されるようにします。

・「AutoRun.inf」ファイルはW32/Virutの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、W32/Virutが自動的に起動されます。

・autorun.infは以下のコマンド構文でW32/Virutのファイルが起動するように設定されています。

  • [AutoRun]
  • ;YCSbpANAnxts vUbjuQpTwi iytubvPxcNIroAl BEpmRmAfsy
  • shell\Explore\cOmmaND = hqsm.cmd
  • oPEn =hqsm.cmd
  • shell\oPen\cOmmanD=hqsm.cmd
  • ;rxVQwg OIdlva KJjc
  • shelL\open\DefauLt=1
  • ShELL\AUTOplAY\commaNd =hqsm.cmd

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\abp470n5
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AtapiDrv
  • HKU\.DEFAULT\Software\MSoftware
  • HKU\S-1-5-18\Software\MSoftware
  • HKEY_CURRENT_USER\Software\Awldea
  • HKEY_CURRENT_USER\Software\bntrp
  • HKEY_CURRENT_USER\Software\wrfke

・以下のレジストリ値が追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    “schedl” = "%Windir%\Help\schedl.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    “wuaucldt” = "%Windir%\system32\wuaucldt.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    “iwmivtvay” = "%Windir%\System32\iwmivtvay.exe"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\]
    “5c9o” = "%Windir%\TEMP\1ey9.exe"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\]
    v5uvf: "%Windir%\TEMP\uygkr9b.exe"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\]
    “apps” = "%Windir%\fonts\services.exe"

・上記のレジストリにより、W32/VirutがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。

  • [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows\]
    "win" = "%Windir%\fonts\services.exe"
  • [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows\]
    "init" = "%Windir%\fonts\services.exe"

・上記のレジストリにより、W32/Virutが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\]
    AntiVirusOverride = 0x00000001
    AntiVirusDisableNotify = 0x00000001
    FirewallDisableNotify = 0x00000001
    FirewallOverride = 0x00000001
    UacDisableNotify = 0x00000001
    FirstRunDisabled = 0x00000001
    UpdatesDisableNotify = 0x00000001
    UacDisableNotify = 0x00000001
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\]
    AntiVirusOverride = 0x00000001
    AntiVirusDisableNotify = 0x00000001
    FirewallDisableNotify = 0x00000001
    FirewallOverride = 0x00000001
    UpdatesDisableNotify = 0x00000001
    UacDisableNotify = 0x00000001
    FirstRunDisabled = 0x00000001

・上記のレジストリ項目により、Windowsセキュリティセンターのアラートを無効にします。

  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr: 0x00000001
  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools: 0x00000001

・上記のレジストリ項目により、レジストリツール、タスクマネージャのオプションを無効にします。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\]
    “EnableFirewall” = “0x00000000”

・上記の値をレジストリキーに追加して、Windowsファイアウォールを無効にします。

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
    "C:\Documents and Settings\Naveen\Desktop\E.exe" = "%USERPROFILE%\Desktop\E.exe:*:Enabled:ipsec"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
    "%Temp%\wingaxhrm.exe" = "%Temp%\wingaxhrm.exe:*:Enabled:ipsec"

・以下のレジストリ値が改変されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\隠しファイル\SHOWALL\]
    “CheckedValue” = “0x00000000”
  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
    “隠しファイル” = “0x00000002”

・上記のレジストリ項目により、乗っ取ったユーザがシステムの隠しファイル、フォルダを閲覧できないようにします。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start: 0x00000004
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\Start: 0x00000004
  • [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\GlobalUserOffline: 0x00000000

[%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista)、\WINNT (Windows NT/2000)、%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリキーが存在します。
  • 上記のIPアドレスへの予期しないネットワーク接続が存在します。

感染方法TOPへ戻る

・W32/Virutはファイル感染型ウイルスです。バイナリファイルを手動で実行すると、感染が開始されます。乗っ取ったマシンからアクセスされたネットワーク共有の実行ファイルも感染する可能性があります。

駆除方法TOPへ戻る
脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。(Windows ME/XPのみ)
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。