本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Trojan-Spy.Win9x.Harrier

クラス Trojan-Spy
プラットフォーム Win9x
説明

技術的な詳細

PE EXEファイルに感染すると、ウイルスはその内部ファイル形式を解析し、ファイルの最後にセクションを1つ作成し、そこに暗号化されたテキストを書き込みます。ウイルスのセクションは、感染ファイルが実行されたときに必要なWindows API関数とコードをリンクするためにウイルスによって使用されるウイルスのエクスポートテーブルによって継続されます。ウイルスは独自のExportテーブルを持っているため、PEヘッダのポインタを変更します。このウイルスは、元のホストファイルのエクスポートテーブルにも特別な注意を払っています。それを保存するために、ウイルスは必要なデータをファイルの末尾に移動し、それを独自のエクスポートテーブルに追加します。 Windowsが感染ファイルをロードすると、ウイルスとホストの両方のエクスポートテーブルが処理されます。

そのセクションを犠牲者のファイル本体とリンクさせるために、ウイルスはPEヘッダ内の必要なフィールドを変更します。ウイルスはそれを非常に正確に行い、その結果、ほとんどの場合、WinNTに感染ファイルがロードされたときにエラーが発生することはありません。

ウイルスは、ファイルLastWriteの日付と時刻スタンプに保存されているスタンプによって、すでに感染したファイルを検出します。このIDの値は一定ではなく、ファイルの時刻と日付の他のフィールド(Rol / Ror / Xor-esのうちの5つがIDを暗号化する)に依存します。

トリガールーチン

メモリ常駐プログラムをインストールしている間、ウイルスは3つのトリガルーチンを呼び出します。最初にシステム環境をチェックし、それに応じてウイルスを「デバッグモード」にします。 2番目の値はシステム時刻の秒の値に応じてMessageBoxを表示します。

ウイルスランダムカウンタ(システムの日付と時刻に依存)に依存する最後の1つは16の場合で、OEMINFO.INIファイルとOEMLOGO.BMPファイルをWindowsのシステムディレクトリにドロップします。 OEMLOGO.INIファイルには、次の2つのセクションのテキスト文字列が含まれています。


[一般]
メーカー=テクノラット
モデル= Harrier用の非常に大きなライフゾーン

[サポート情報]
line1 =今日のウイルスはウイルスではありませんが、
line2 =しかし、オペレーティングシステムの一部です。 。 。
line3 = DarkLandの95番目のHarrierで(C)
line4 = —
line5 =きれいなロゴの写真が作成されました
line6 = PolyGrisとLionKingによる。本旨
line7 =すべてのバージョンのコードが開発されました
line8 =私のところ – TechnoRat
MyComputer / Propertiesを選択すると、このBMPファイルと「一般」セクションが「システムプロパティ」ウィンドウに表示されます。同じ「システムプロパティ」内の対応するボタンが押されると、ウイルス「サポート情報」が表示されます。

ウイルス "デバッグモード"は、システム環境に特定の文字列( "Variable = Value"、 "SET =" DOS命令などで設定されている)が含まれている場合にアクティブになります。この文字列は19個のシンボルを持ち、愚かなCRCループを使用してウイルスによって検出されます。このCRCループは文字列を4バイトに「圧縮」するので、この文字列には数百万の「可読」バリアントが存在します。

ウイルスのデバッグモードがオンの場合、メッセージボックスが表示されます。

次に、各感染時のウイルスはMessageBoxを表示し、ファイルに感染するための許可を要求します。

"OK"では、ウイルスは感染ルーチンを実行し、 "Cancel"でウィルスはもう1つのMessageBoxを表示して終了します:

上記のように、USER32とGDI32のフックはトリガルーチンでウイルスによって使用されます。ウイルスは表示されたテキストを変更したり、独自のメッセージを出力したりします。

感染したアプリケーションが16回目にWinHelpA関数を呼び出すと、ウィルスはWindows関数を呼び出す代わりに独自のMessageBoxを表示します。


"DarkLandの95th Harrier"
神が助けてくれるでしょう! 😉
MessageBoxAの任意の呼び出しで、ウイルスはシステム時間をチェックし、それに応じてMessageBoxの元のテキストを次の6つの亜種の1つに置き換えます。


システムの誤動作!
VXDは過度に交差している!
CPUモードのサンクエラーです!
CPUがオーバークロックされ、クーラーデバイスの緊急事態!
ヘルプサブシステムが壊れています!
注意!コンピュータ内のバグは、SoftIceを使用してください。

他のフックされた呼び出しでは、ウイルスは部分文字列の4つの亜種についてテキストをスキャンし、それらを独自のバージョンに置き換えます。


マイクロソフト – > MIcrOSOFT
WINDOWS – > WINDOwS
ビルゲート – >ギルベイツ
ハリアー – >ああ!みんな!それは私のことですか?


オリジナルへのリンク