キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Adware.Virtumonde
公開日:2008年02月07日
このウイルスに関する危険度 :■■■□□

定義名称 Win32/Adware.Virtumonde
潜在的に不要なアプリケーション検査による結果だった場合 Win32/Adware.Virtumonde.x(※)
※ x に入る文字は、複数存在します。
種別 アプリケーション
別名 Adware.Virtumonde, not-a-virus:AdWare.Win32.Virtumonde.ae, Trojan.Awax, Trojan.DownLoader.6408, Vundo, Vundo!tr, Win32/Adware.Virtumonde, Win32/Adware.Virtumonde.AE, Win32/Adware.Virtumonde.AJ, Win32/Adware.Virtumonde.AK, Win32/Adware.Virtumonde.AM, Win32/Adware.Virtumonde.AQ, Win32/Adware.Virtumonde.D, Win32/Adware.Virtumonde.F, Win32/Adware.Virtumonde.H, Win32/Adware.Virtumonde.L, Win32/Adware.Virtumonde.M, Win32/Adware.Virtumonde.O, Win32/Chisyne!generic, Win32/Chisyne.3vs!DLL!Trojan
アドバンスドヒューリスティック検査による結果だった場合

このオリジナルの潜在的に不要なアプリケーションを利用した新種・亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Adware.Virtumonde アプリケーションの亜種」という名称で警告が出ます。

影響受けるプラットフォーム Microsoft Windows
概要 Virtumondeは、広告アプリケーションです。プログラムは、Internet Explorer のプロセスにインジェクトして動作をします。
解説

■侵入について

主に、無料のソフトウェアのインストールやウェブページなどのアクセス時にインストールされます。

■活動について

主な特徴として、

  • いくつかのセキュリティソフトウェアを停止しようとする場合があります。
  • リモート先にシステム環境等の情報を送信します。

インストール時、次のファイルがインストールされます。

c:\windows\system32\[nombre al azar].dll
c:\windows\system32\geede.dll
c:\windows\system32\gebcd.dll

また、Internet Explorer のプロセスにインジェクトします。これにより、Internet Explorerの起動時に自動的に実行されるようになります。

次のレジストリを登録します。

HKLM\SOFTWARE\Classes\CLSID
\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}

HKLM\Software\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\[nombre del troyano]

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ShellExecuteHooks
{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} = ""


システム環境に次のファイルが存在する場合、プロセスにインジェクトしようと試みます。

AD-AWARE.EXE

次のプロセスが稼働中の場合、停止を試みます。

GCASSERVALERT.EXE

メモリ内で一度も実行されていない次のミューテックスを作成します。

awx_mutant
_ConsprMutex

次のアドレスに接続し、情報を送信します。

http://ushuistov.net/
http://202.67.220.235/

また、他のアーカイブなどの情報を送信するための指示が含まれています。

リモートのアタックにより指示が入るため攻撃と言えます。そのため一般的には考えられないシステムであると見ています。

このページのトップへ

(C)Canon IT Solutions Inc.