　インターネットなどを通じて感染するPE_VIRUXは、ファイル改ざんや異なる不正プログラムのダウンロード、バックドア経由の不正侵入、Windowsのファイル保護機能の無効化といった複数の機能を搭載。自身の活動を保護する機能もあるという。同社の観測では2月8日にかけて感染報告数が急増。2月13日現在、米国では8万3672台、国内では7860台、ドイツでは4476台のPCに感染が確認された。

PE_VIRUX.Aの感染報告数の推移（Trend Microより）

　感染すると、物理ドライブ内の「.php」「.asp」「.htm」のファイルを検索し、対象ファイルにマルウェアをホスティングしている外部サイトへ接続するためのスクリプトを挿入する。接続先のサイトでは、ユーザーのシステムにMicrosoft製品の脆弱性が存在しているかどうかを確認し、XML Core Serviceの脆弱性（MS07-042）を突いて、異なる不正プログラム「PE_VIRUT.BO」をダウンロードさせようとする。

　PE_VIRUT.BOはダウンロード後に「PE_VIRUX.A」へ変化し、さらに別のマルウェアをホスティングしているサイトから不正プログラムをダウンロードする。ウイルス対策ソフトウェアによる検知を回避するほか、多数のマルウェアをユーザーに感染させる狙いがあるとみられている。

　PE_VIRUX.Aには、このほか「winlogon.exe」に感染を広げてシステムファイルのチェック機能を無効化する。これにより、同ウイルスを駆除してもユーザーがシステムを復旧できなくなる可能性がある。なお、一部の文字列を含むファイルへの感染を回避する機能もあり、ウイルス自身の実行に影響を与えないようにしているという。

　同社では、正規ファイルに感染するウイルスは発見やシステム復旧を困難にする場合が多く、定期的なバックアップを実施することで、安全なシステム環境を確保することが望ましいとアドバイスしている。

過去のセキュリティニュース一覧はこちら