トレンドマイクロは13日、2月に発見された新たなウイルス「PE_VIRUX.A」について、今後感染被害の拡大が予測されるとして、公式ブログで注意を喚起した。
トレンドマイクロの集計によれば、「PE_VIRUX.A」の被害が最も深刻なのが米国で、既に約8万3000台の感染が報告されている。次に感染台数が多いのが日本の約7900台で、数こそ米国に劣るものの無視できる値ではないと警告している。
「PE_VIRUX.A」については、「これまでに報告されているウイルスの集大成とも言える多機能性が特徴」と説明。ウイルスの活動としては、ファイルの改ざん、リモートサイトからの不正プログラムのダウンロード、バックドア活動、Windowsのファイル保護機能に対する妨害などが確認されており、今後の亜種ではさらに機能強化が図られる可能性があるとしている。
「PE_VIRUX.A」は、主に悪意のあるWebサイトからユーザーが誤ってダウンロード・実行することによりコンピュータに侵入。コンピュータ内のファイル(.PHP、.ASP、.HTM)に対して、ウイルス配布サイトに誘導するスクリプト「HTML_IFRAME.NV」を挿入する。
「HTML_IFRAME.NV」によって誘導されるウイルス配布サイトでは、「MS08-078」の脆弱性など判明している範囲で7種類の脆弱性について、アクセスしてきたユーザーPCに脆弱性が存在するかを診断。これによりウイルス「PE_VIRUT.BO」をダウンロード・実行させる。また、「PE_VIRUT.BO」はダウンロードされたファイルからウイルスコードが駆除されると「TROJ_VIRUX.A」という別のウイルスに変化するなど、解析側を混乱させる効果を狙ったと思われる仕掛けが組み込まれている。
また、「PE_VIRUX.A」はウイルスの本体を正規プログラム「winlogon.exe」に埋め込み、Windowsファイル保護を利用したシステムファイルチェッカー「SFC.EXE」を無効にする。このほか、今後の感染活動を円滑に進めるために、HOSTSファイルの改変、Windowsファイアウォールの設定変更、バックドア活動などを行うことが確認されている。
さらに、ウイルスは宿主となる実行ファイル(.EXEまたは.SCRファイル)を探し出し、ウイルスを実行ファイルに埋め込む。実行ファイルにウイルスを埋め込む手法も、3種類の方法を組み合わせて使うとともに、多層構造の暗号化手法を採用するなど、ステルス性を高める工夫が施されているという。
トレンドマイクロでは、正規ファイルを宿主とするファイル感染型ウイルスは判別が困難で、感染した正規ファイルは破損により検出できても駆除することができない場合もあるとして、感染に備えては定期的なバックアップ作業などが重要になると説明している。
関連情報
■URL
トレンドマイクロ セキュリティブログの該当記事
http://blog.trendmicro.co.jp/archives/2559
PE_VIRUX.Aの詳細情報
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE_VIRUX.A
( 三柳英樹 )
2009/02/13 21:10
- ページの先頭へ-
|