McAfee for Small Businesses

ウイルス名 危険度 Vundo 企業ユーザ: 低 個人ユーザ: 低 種別 プログラム 最小定義ファイル (最初に検出を確認したバージョン) 4388 対応定義ファイル (現在必要とされるバージョン) 5224　（現在7077) 対応エンジン 5.1.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Adware.VirtuMonde (Symantec) Troj/AgentSpy-A (Sophos) Trojan.Vundo.B (Symantec) 情報掲載日 2004/08/23 発見日（米国日付） 2004/08/20 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/15 ZeroAccess!5... 05/15 VBS/LoveLett... 05/15 RDN/Generic ... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7077  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る -- 2006年4月6日更新 -- ・偽のエラーメッセージを表示し、ユーザにセキュリティソフトウェアプログラムをダウンロードするよう求めるVundoの最新の亜種が確認されました。Vundoを削除するため、SysProtectアプリケーションをダウンロードするよう求められます。 本文: There is a security vulnerability from the "Beagle Virus". We recommend you DOWNLOAD one of the security software programs to prevent malware infections. レジストリの変更 ・Vundoはオリジナルの特性のほとんどを維持していますが、以下のレジストリの改変が行われます。 ・自身をBHOとして追加します。 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1AE6D7D5-0C28-4DB6-9FD1-33B870A4C5F2}\InprocServer32\: "VundoのDLLファイルへのパス" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1AE6D7D5-0C28-4DB6-9FD1-33B870A4C5F2} ・ランダムなファイル名でwinlogonキーを作成します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\filename. \Startup: "SysLogon" \Logoff: "SysLogoff" ・以下のキーも追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DosSpecFolder.DosSpecFolder HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DosSpecFolder.DosSpecFolder.1 ------------------------------------ ・古い亜種の特徴は以下のとおりです。 DLLファイルを復号化し、ターゲットマシンにドロップ（作成）します。このDLLはターゲットマシンからデータを収集することを目的としているようです。 EXEファイルをターゲットマシンにドロップ（作成）します。このコンポーネントはAdware-Virtumondoに関連しているようです。 ・実行時、VMTEMP.TMPがローカルの一時ディレクトリに書き込まれます。 例: C:\DOCUMENTS AND SETTINGS\USER\LOCALSETTINGS\TEMP\VMTEMP.TMP (387,133バイト) ・このファイルが実行されると、以下のレジストリキーが追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce "*(ファイル名)" ・また、2つのDLLもターゲットマシンにインストールされます。両方ともサイズは86,016バイトです。使用されるファイル名はランダムですが、ファイル拡張子に.DATが使用されます。 TMW.DAT (86,016バイト) ・これらのDLLに対する以下のCLSIDが追加されます。 HKEY_CLASSES_ROOT\CLSID\{8109AF33-6949-4833-8881-43DCC232B7B2} HKEY_CLASSES_ROOT\CLSID\{2316230A-C89C-4BCC-95C2-66659AC7A775} ・以下のキーにより、DLLがBrowser Helper Objects（BHO）としてターゲットマシンにインストールされる可能性があります。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Browser Helper Objects\{8109AF33-6949-4833-8881-43DCC232B7B2} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Browser Helper Objects\{2316230A-C89C-4BCC-95C2-66659AC7A775} ・以下のキーも追加されます。 HKEY_CLASSES_ROOT\ATLEvents.ATLEvents HKEY_CLASSES_ROOT\ATLEvents.ATLEvents.1 ・さまざまなデータが（HTTPを介して）リモートサーバに送信されます。一例は以下のとおりです。 バージョン情報 クラッシュ履歴 アフィリエイトID ・DLLの1つ（実際はファイル拡張子に.DATを使用）は合法的なEXPLORER.EXEプロセスに挿入されるため、リモートHTTP接続が開始されると、ソフトウェアファイアウォールが誤って警告することがあります。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記のレジストリキーが存在します。 以下のリモートサーバへのトラフィックが発生しています。     ○ virtumonde.com 新しい亜種はユーザに悪質なシステムセキュリティツールをダウンロードするよう求める偽のエラー画面を表示します。 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿などを通じて配布されます。 駆除方法 TOPへ戻る ・Vundoの亜種の中には、特に駆除が難しいものがあります。現行のウイルス定義ファイル、エンジンでは、メモリ内で動作しているVundoを自動的に完全に駆除する方法は提供されていません。ただし、ウイルス定義ファイル／エンジンを使った駆除方法と手作業による駆除方法を組み合わせることにより、Vundoを駆除することが可能です。 手順 SysinternalsからProcess Explorer（procexp.exe）をダウンロードします。 感染したマシンを再起動します。 VirusScanオンデマンドスキャナまたはコマンドラインスキャナを起動します。まだスキャンは始めないでください。 Process Explorerを実行し、Explorer.exe、Winlogon.exe、rundll32.exeプロセスを一時停止します（プロセス名を右クリックして、一時停止を選択します）。 最新のウイルス定義ファイルとエンジンを使って、スキャンと駆除を行います（手順3で起動したウィンドウ）。このとき、駆除は失敗しますが、これは予定通りです。 電源ボタンを押して、マシンの電源を切り、入れなおします（Winlogon.exeが動作していない場合、Windowsはシャットダウンせず、プロセスを再開するとスキャナが行った変更が元に戻されてしまうため、ハードリセットが必要です）。 ・上記の手順を実行すると、該当するすべてのレジストリ項目、Vundoのコンポーネントが削除されます。 Windows ME/XPでの駆除についての補足