|
|
|
最新ウイルス定義ファイルバージョン
:
12381 (2015/10/09 17:02)
|
最新ウイルス情報 : Win32/Adware.Virtumonde
|
|
このウイルスに関する危険度
:■■■□□ |
定義名称 |
Win32/Adware.Virtumonde |
潜在的に不要なアプリケーション検査による結果だった場合 |
Win32/Adware.Virtumonde.x(※)
※ x に入る文字は、複数存在します。 |
種別 |
アプリケーション |
別名 |
Adware.Virtumonde, not-a-virus:AdWare.Win32.Virtumonde.ae, Trojan.Awax, Trojan.DownLoader.6408, Vundo, Vundo!tr, Win32/Adware.Virtumonde, Win32/Adware.Virtumonde.AE, Win32/Adware.Virtumonde.AJ, Win32/Adware.Virtumonde.AK, Win32/Adware.Virtumonde.AM, Win32/Adware.Virtumonde.AQ, Win32/Adware.Virtumonde.D, Win32/Adware.Virtumonde.F, Win32/Adware.Virtumonde.H, Win32/Adware.Virtumonde.L, Win32/Adware.Virtumonde.M, Win32/Adware.Virtumonde.O, Win32/Chisyne!generic, Win32/Chisyne.3vs!DLL!Trojan |
アドバンスドヒューリスティック検査による結果だった場合 |
このオリジナルの潜在的に不要なアプリケーションを利用した新種・亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Adware.Virtumonde アプリケーションの亜種」という名称で警告が出ます。 |
影響受けるプラットフォーム |
Microsoft Windows |
概要 |
Virtumondeは、広告アプリケーションです。プログラムは、Internet Explorer のプロセスにインジェクトして動作をします。 |
|
|
|
解説 |
|
|
|
■侵入について
主に、無料のソフトウェアのインストールやウェブページなどのアクセス時にインストールされます。
■活動について
主な特徴として、
- いくつかのセキュリティソフトウェアを停止しようとする場合があります。
- リモート先にシステム環境等の情報を送信します。
インストール時、次のファイルがインストールされます。
|
c:\windows\system32\[nombre al azar].dll
c:\windows\system32\geede.dll
c:\windows\system32\gebcd.dll |
また、Internet Explorer のプロセスにインジェクトします。これにより、Internet Explorerの起動時に自動的に実行されるようになります。
次のレジストリを登録します。
|
HKLM\SOFTWARE\Classes\CLSID
\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}
HKLM\Software\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\[nombre del troyano]
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ShellExecuteHooks
{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} = "" |
システム環境に次のファイルが存在する場合、プロセスにインジェクトしようと試みます。
|
AD-AWARE.EXE
|
次のプロセスが稼働中の場合、停止を試みます。
|
GCASSERVALERT.EXE
|
メモリ内で一度も実行されていない次のミューテックスを作成します。
|
awx_mutant
_ConsprMutex |
次のアドレスに接続し、情報を送信します。
|
http://ushuistov.net/
http://202.67.220.235/ |
また、他のアーカイブなどの情報を送信するための指示が含まれています。
リモートのアタックにより指示が入るため攻撃と言えます。そのため一般的には考えられないシステムであると見ています。
|
|
|
|
|
|