ウイルス情報

ウイルス名 危険度

Vundo

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
4388
対応定義ファイル
(現在必要とされるバージョン)
6018 (現在7634)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Adware.VirtuMonde (Symantec)Troj/AgentSpy-A (Sophos)Trojan.Vundo.B (Symantec)
情報掲載日 2010/07/12
発見日(米国日付) 2004/08/20
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Vundoはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルに益がある、あるいは欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに主導で未知のプログラムを実行させることです。電子メール、悪質な/ハッキングされたWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

-- 2006年4月6日更新 --

・偽のエラーメッセージを表示し、ユーザにセキュリティソフトウェアプログラムをダウンロードするよう求めるVundoの最新の亜種が確認されました。Vundoを削除するため、SysProtectアプリケーションをダウンロードするよう求められます。

本文: There is a security vulnerability from the "Beagle Virus". We recommend you DOWNLOAD one of the security software programs to prevent malware infections.

レジストリの変更

・Vundoはオリジナルの特性のほとんどを維持していますが、以下のレジストリの改変が行われます。

・自身をBHOとして追加します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1AE6D7D5-0C28-4DB6-9FD1-33B870A4C5F2}\InprocServer32\: "VundoのDLLファイルへのパス"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1AE6D7D5-0C28-4DB6-9FD1-33B870A4C5F2}

・ランダムなファイル名でwinlogonキーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\filename.
    \Startup: "SysLogon"
    \Logoff: "SysLogoff"

・以下のキーも追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DosSpecFolder.DosSpecFolder
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DosSpecFolder.DosSpecFolder.1
------------------------------------

・古い亜種の特徴は以下のとおりです。

  • DLLファイルを復号化し、ターゲットマシンにドロップ(作成)します。このDLLはターゲットマシンからデータを収集することを目的としているようです。
  • EXEファイルをターゲットマシンにドロップ(作成)します。このコンポーネントはAdware-Virtumondoに関連しているようです。

・実行時、VMTEMP.TMPがローカルの一時ディレクトリに書き込まれます。

例:

  • C:\DOCUMENTS AND SETTINGS\USER\LOCALSETTINGS\TEMP\VMTEMP.TMP (387,133バイト)

・このファイルが実行されると、以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce "*(ファイル名)"

・また、2つのDLLもターゲットマシンにインストールされます。両方ともサイズは86,016バイトです。使用されるファイル名はランダムですが、ファイル拡張子に.DATが使用されます。

  • TMW.DAT (86,016バイト)

・これらのDLLに対する以下のCLSIDが追加されます。

  • HKEY_CLASSES_ROOT\CLSID\{8109AF33-6949-4833-8881-43DCC232B7B2}
  • HKEY_CLASSES_ROOT\CLSID\{2316230A-C89C-4BCC-95C2-66659AC7A775}

・以下のキーにより、DLLがBrowser Helper Objects(BHO)としてターゲットマシンにインストールされる可能性があります。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{8109AF33-6949-4833-8881-43DCC232B7B2}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \Browser Helper Objects\{2316230A-C89C-4BCC-95C2-66659AC7A775}

・以下のキーも追加されます。

  • HKEY_CLASSES_ROOT\ATLEvents.ATLEvents
  • HKEY_CLASSES_ROOT\ATLEvents.ATLEvents.1

・さまざまなデータが(HTTPを介して)リモートサーバに送信されます。一例は以下のとおりです。

  • バージョン情報
  • クラッシュ履歴
  • アフィリエイトID

・DLLの1つ(実際はファイル拡張子に.DATを使用)は合法的なEXPLORER.EXEプロセスに挿入されるため、リモートHTTP接続が開始されると、ソフトウェアファイアウォールが誤って警告することがあります。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のレジストリキーが存在します。
  • 以下のリモートサーバへのトラフィックが発生しています。
        ○ virtumonde.com
  • 新しい亜種はユーザに悪質なシステムセキュリティツールをダウンロードするよう求める偽のエラー画面を表示します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。

TOPへ戻る

駆除方法

・Vundoの亜種の中には、特に駆除が難しいものがあります。現行のウイルス定義ファイル、エンジンでは、メモリ内で動作しているVundoを自動的に完全に駆除する方法は提供されていません。ただし、ウイルス定義ファイル/エンジンを使った駆除方法と手作業による駆除方法を組み合わせることにより、Vundoを駆除することが可能です。

手順
  1. SysinternalsからProcess Explorer(procexp.exe)をダウンロードします。
  2. 感染したマシンを再起動します。
  3. VirusScanオンデマンドスキャナまたはコマンドラインスキャナを起動します。まだスキャンは始めないでください。
  4. Process Explorerを実行し、Explorer.exe、Winlogon.exe、rundll32.exeプロセスを一時停止します(プロセス名を右クリックして、一時停止を選択します)。
  5. 最新のウイルス定義ファイルとエンジンを使って、スキャンと駆除を行います(手順3で起動したウィンドウ)。このとき、駆除は失敗しますが、これは予定通りです。
  6. 電源ボタンを押して、マシンの電源を切り、入れなおします(Winlogon.exeが動作していない場合、Windowsはシャットダウンせず、プロセスを再開するとスキャナが行った変更が元に戻されてしまうため、ハードリセットが必要です)。

・上記の手順を実行すると、該当するすべてのレジストリ項目、Vundoのコンポーネントが削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る