Trojan-Spy.Win9x.Harrier

親クラス: TrojWare

トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。

クラス: Trojan-Spy

トロイの木馬 - スパイプログラムは、ユーザーの行動を偵察するために使用されます（キーボードで入力されたデータの追跡、スクリーンショットの作成、実行中のアプリケーションのリストの取得など）。電子メール、FTP、ウェブ（要求内のデータを含む）および他の方法を使用してデータを送信することができる。

プラットフォーム: Win9x

No platform description

説明

技術的な詳細

PE EXEファイルに感染すると、ウイルスはその内部ファイル形式を解析し、ファイルの最後にセクションを1つ作成し、そこに暗号化されたテキストを書き込みます。ウイルスのセクションは、感染ファイルが実行されたときに必要なWindows API関数とコードをリンクするためにウイルスによって使用されるウイルスのエクスポートテーブルによって継続されます。ウイルスは独自のExportテーブルを持っているため、PEヘッダのポインタを変更します。このウイルスは、元のホストファイルのエクスポートテーブルにも特別な注意を払っています。それを保存するために、ウイルスは必要なデータをファイルの末尾に移動し、それを独自のエクスポートテーブルに追加します。 Windowsが感染ファイルをロードすると、ウイルスとホストの両方のエクスポートテーブルが処理されます。

そのセクションを犠牲者のファイル本体とリンクさせるために、ウイルスはPEヘッダ内の必要なフィールドを変更します。ウイルスはそれを非常に正確に行い、その結果、ほとんどの場合、WinNTに感染ファイルがロードされたときにエラーが発生することはありません。

ウイルスは、ファイルLastWriteの日付と時刻スタンプに保存されているスタンプによって、すでに感染したファイルを検出します。このIDの値は一定ではなく、ファイルの時刻と日付の他のフィールド（Rol / Ror / Xor-esのうちの5つがIDを暗号化する）に依存します。

トリガールーチン

メモリ常駐プログラムをインストールしている間、ウイルスは3つのトリガルーチンを呼び出します。最初にシステム環境をチェックし、それに応じてウイルスを「デバッグモード」にします。 2番目の値はシステム時刻の秒の値に応じてMessageBoxを表示します。

ウイルスランダムカウンタ（システムの日付と時刻に依存）に依存する最後の1つは16の場合で、OEMINFO.INIファイルとOEMLOGO.BMPファイルをWindowsのシステムディレクトリにドロップします。 OEMLOGO.INIファイルには、次の2つのセクションのテキスト文字列が含まれています。

[一般]メーカー=テクノラットモデル= Harrier用の非常に大きなライフゾーン

[サポート情報]line1 =今日のウイルスはウイルスではありませんが、line2 =しかし、オペレーティングシステムの一部です。 。 。line3 = DarkLandの95番目のHarrierで（C）line4 = ---line5 =きれいなロゴの写真が作成されましたline6 = PolyGrisとLionKingによる。本旨line7 =すべてのバージョンのコードが開発されましたline8 =私のところ -  TechnoRat

MyComputer / Propertiesを選択すると、このBMPファイルと「一般」セクションが「システムプロパティ」ウィンドウに表示されます。同じ「システムプロパティ」内の対応するボタンが押されると、ウイルス「サポート情報」が表示されます。

ウイルス "デバッグモード"は、システム環境に特定の文字列（ "Variable = Value"、 "SET =" DOS命令などで設定されている）が含まれている場合にアクティブになります。この文字列は19個のシンボルを持ち、愚かなCRCループを使用してウイルスによって検出されます。このCRCループは文字列を4バイトに「圧縮」するので、この文字列には数百万の「可読」バリアントが存在します。

ウイルスのデバッグモードがオンの場合、メッセージボックスが表示されます。

次に、各感染時のウイルスはMessageBoxを表示し、ファイルに感染するための許可を要求します。

"OK"では、ウイルスは感染ルーチンを実行し、 "Cancel"でウィルスはもう1つのMessageBoxを表示して終了します：

上記のように、USER32とGDI32のフックはトリガルーチンでウイルスによって使用されます。ウイルスは表示されたテキストを変更したり、独自のメッセージを出力したりします。

感染したアプリケーションが16回目にWinHelpA関数を呼び出すと、ウィルスはWindows関数を呼び出す代わりに独自のMessageBoxを表示します。

"DarkLandの95th Harrier"神が助けてくれるでしょう！ ;-)

MessageBoxAの任意の呼び出しで、ウイルスはシステム時間をチェックし、それに応じてMessageBoxの元のテキストを次の6つの亜種の1つに置き換えます。

システムの誤動作！VXDは過度に交差している！CPUモードのサンクエラーです！CPUがオーバークロックされ、クーラーデバイスの緊急事態！ヘルプサブシステムが壊れています！注意！コンピュータ内のバグは、SoftIceを使用してください。

他のフックされた呼び出しでは、ウイルスは部分文字列の4つの亜種についてテキストをスキャンし、それらを独自のバージョンに置き換えます。

マイクロソフト - > MIcrOSOFTWINDOWS  - > WINDOwSビルゲート - >ギルベイツハリアー - >ああ！みんな！それは私のことですか？

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com