感染したウイルスに関する詳細情報

× 閉じる

このページには、Vectorからの重要なお知らせが掲載されています。

感染したウイルスに関する詳細情報
Last Updated：2006.09.29

現在までに弊社で確認できているウイルスの内容は、以下の通りです。

概要: W32/HLLP.Philis.av（McAfee VirusScanでの呼称^※1）か、その亜種と思われます。ファイル感染型ウイルスで、感染したファイルを実行すると、ローカルマシンおよびネットワーク上の共有フォルダにある実行ファイルを検索し、ウイルスコードを付加します。

被害: 弊社では、感染行動以外の活動を確認しておりませんが、既知のW32/HLLP.Philis.avと活動内容が近いことから、特定のオンラインゲームのアカウント情報を取得すると思われます。

詳細な活動内容

1. ウイルスに感染したファイルを実行すると、Windowsフォルダ^※2に以下のファイルが生成されます。
この時点で、元の感染したファイルは無害化されます。
　　rundl132.exe
　　Logo1_.exe
　　Dll.dll

2. Logo1_.exeがプロセスに常駐します。

3. レジストリに以下内容が追加され、ウイルス（rundl132.exe^※3）がWindows起動時に自動実行されるよう設定します。

　・Windows 2000、XPの場合
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
　　"load"="＜Windowsフォルダ＞\rundl132.exe"

　・Windows ME、98の場合
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"load"="＜Windowsフォルダ＞\rundl132.exe"

4. 環境によっては以下のレジストリキーも追加されます。
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
　　"Auto"="1"

5. rundl132.exeが起動すると、ローカルドライブと、ネットワークに接続された共有フォルダにある実行ファイル^※4を検索し、ウイルスコードを付加します。
検索対象のフォルダはシステム共有フォルダ^※5も含みます。

6. ウイルスがアクセスしたすべてのフォルダに「_desktop.ini」というファイルが作成されます。
このファイルはウイルスが実行された日付が記載されたテキストファイルです。

※1 各ウイルス対策ソフトでの検出時の呼称は以下の通りです。: McAfee VirusScan（マカフィー株式会社）： W32/HLLP.Philis.av; ウイルスバスター（トレンドマイクロ株式会社）： PE_LOOKED.FV; Norton AntiVirus（株式会社シマンテック）： W32.Looked.H; NOD 32（キヤノンシステムソリューション株式会社）： Win32/Viking.AU

※2 Windowsフォルダは標準設定では以下の場所になります。: Windows9x/Me/XP ： C:\Windows; WindowsNT/2000 ： C:\WINNT

※3 rundl132.exe と rundll32.exe: 「rundll32.exe」はWindowsのシステムファイルですので、プロセスに常駐していても問題ありません。
・rundl132.exe（ランディエルイチサンニ）：ウイルスファイル
・rundll32.exe （ランディエルエルサンニ）：正常なファイル

※4 感染対象となるファイルについて: ・ローカルドライブについては、「EXCEL.EXE（Microsoft Excel）」「WINWORD.EXE（Microsoft WORD）」「install.exe（各種インストールプログラム）」「setup.exe（各種セットアッププログラム）」など一部の拡張子exeのファイルにのみ感染します。; ・共有フォルダについては、対象を特定せずに拡張子exeのファイル全般に感染します。

※5 システム共有フォルダ: Windowsの標準設定ではインストール直後の状態で、各ドライブが「c$」「d$」…、として共有されています。そのため、ユーザーが意識的に共有フォルダを設定していなくても感染対象となります。