McAfee for Small Businesses

ウイルス名 危険度 W32/Virut.j 企業ユーザ: 中 個人ユーザ: 中 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) 5143 対応定義ファイル (現在必要とされるバージョン) 5500　（現在7084) 対応エンジン 5.1.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 情報掲載日 2011/06/03 発見日（米国日付） 2007/08/31 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る --2008年2月8日更新--- ・以下のWebサイトで注目されたため、危険度を[低（要注意）]に変更しました。 http://www.cio.com/article/181250/Antivirus_Company_s_Web_Site_Downloa -- ・実行時、動作中のプロセスに自身を挿入し、以下のntdll.dll APIにフックします。 NtCreateFile NtCreateProcess NtCreateProcessEx NtOpenFile ・最後のセクション内に本体を付加し、エントリポイントを自身に改変して、実行ファイルに感染します。 ・W32/Virut.jは乗っ取ったマシンのポート80（通常はHTTPに使用）でバックドアを開きますが、IRC通信に利用することはありません。 ・以下の場所にあるIRCサーバに接続しようとします。 proxim.ntkrnlpa.info ・接続後、以下のチャネルに参加します。 virtu3 ・参加後は、さまざまなホストから感染したマシンに他のマルウェアをダウンロードして実行するコマンドを受信できるようになります。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 実行ファイルが改変されます（exeファイルのサイズが増えます）。 proxim.ntkrnlpa.infoへのDNSクエリ、IRC関連のネットワークトラフィックが発生します。 感染方法 TOPへ戻る ・W32/Virut.jはファイル感染型ウイルスです。バイナリファイルを手動で実行すると、感染が開始されます。乗っ取ったマシンからアクセスされたネットワーク共有の実行ファイルも感染する可能性があります。 駆除方法 TOPへ戻る 脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。 システムリストアを無効にしてください。(Windows ME/XPのみ) 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。 Complete system scanを実行してください。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。