親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Virus
ウィルスは、ローカルマシンのリソース上で複製します。ワームとは異なり、ウイルスはネットワークサービスを使用して他のコンピュータに伝播したり侵入したりしません。感染したオブジェクトが何らかの理由でウイルス機能に関係なく他のコンピュータで有効になっている場合にのみ、ウイルスのコピーがリモートコンピュータに届きます。たとえば、アクセス可能なディスクに感染すると、ウイルスはネットワークリソースにあるファイルに侵入し、ウイルスは自身をリムーバブルストレージデバイスにコピーしたり、リムーバブルデバイス上のファイルに感染させたりします。ユーザーは感染した添付ファイル付きの電子メールを送信します。プラットフォーム: BAT
No platform description説明
技術的な詳細
これは、無害な非メモリー常在型多型性寄生BATウイルスです。現在のディレクトリ内のBATファイルを検索し、感染させます。ファイルに感染すると、ウイルスはARJアーカイバを実行して必要なファイルをパックします。 PATHにARJ.EXEファイルがない場合、ウイルスは自身を複製することができません。
感染したバッチファイルには、コードとデータの2つの部分が含まれています。最初の部分(ヘッダー)には5つのDOSコマンドが含まれ、2番目の部分(残りの部分)には、ARJアーカイバとパスワードを使用して圧縮されたランダムな名前のBATファイルが含まれています。したがって、感染ファイルにはテキスト文字列(DOSコマンド)とバイナリデータ(ARJアーカイブ)が含まれています。
そのBATファイルには、主要なウイルスコード(バッチコマンド)と圧縮データの2つの部分も含まれています。圧縮されたデータには、ホストファイル、ウイルスデータ、およびコードファイルのいくつかのファイルが含まれています。感染したファイルは、ARJアーカイブ内のARJアーカイブとして見えます。
+ -------------------- + �BAT命令� - ヘッダ1、起動ウイルスコード �-------------------- �ARJアーカイブ:� - ARJでパックされたランダムな名前のBATファイル �+ ---------------- + ��BAT命令� - ヘッダー2、メインウイルスコード ��----------------�� ��ARJアーカイブ:�� - ファイルの集合 ��+ ------------ +� ���BATALIA6.BAT��Inf - 感染、多型、ランダムジェネレーター �����ルーチン ���ホストファイル.BAT��original - 元のホストファイル ���ZAGL��Virus - ウイルスデータファイル ���RULZ��Virus - ウイルスデータファイル ���FINAL.BAT��temporary - 一時ファイルとサブディレクトリを削除します。 ��+ ------------ +� �+ ---------------- ++ -------------------- +
ヘッダー1には、いくつかのバリアントから選択され、長さが異なる5つのコマンドが含まれています。
@echo offレムアジ%%compec%-g5C:COMMAND.COM nul / carj x%0 -g2:nul arj x%0 -g7 C:COMMAND.COMホステルバット@EcHo OfFrem COMMAND.COM nul / carj x%0 -g1%comspec%nul / c arj e HOST.BAT -g3:エコーC:COMMAND.COM nul / carj x%0私はホステルバット
ARJアーカイブはランダムに選択されたパスワードで暗号化されているため、ウイルスには定数バイトが含まれていないため、既知の多型BATウイルスとなります。
実行されると、ウイルス(ヘッダ1)はARJアーカイバを実行し、2番目の部分(BATファイル)を抽出して実行します。 2番目の部分のコードは一時ディレクトリを作成し、2番目のアーカイブから一時ディレクトリにファイルを抽出し、検索、感染、ポリモーフィックのルーチンを実行し、ホストファイルを実行して一時ファイルと一時ディレクトリを削除します。
ウイルスのコードには、次のテキスト文字列が含まれています。
:死のVirii乗組員&ステルスグループワールドワイド:PRESENTS:BATの最初の突然変異エンジン!:ASMなし!:[BATalia6]&FMEB(c)(リマインダ別):// __ _:+ -------- /// ------ + ___ MagMe for VirMakers:�+++ - ++ - // // - + - +++�___ ________________ _ ___________________ _ ________:�++��/////����__ ___ ___ ___ ___ ___ ___�_ ___ _ ___ ___:�++ - + ///// ++ - ++�_ __ __ __ _ __ _ _ _ _ _ _ _ _ _ _:+ ------ // // ------- + _ _ _ _ ___ ___ _ ___ ___ __ ___ _ ___ ____:GROUP // // WORLDWIDE _ _________________ _______________________________::Box 10、Kiev 252148:ボックス15、モスクワ125080:Box 11、Lutsk 263020::READINFECTEDVOICE::(c)Reminder(1996年5月22日)
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com