親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Virus
ウィルスは、ローカルマシンのリソース上で複製します。ワームとは異なり、ウイルスはネットワークサービスを使用して他のコンピュータに伝播したり侵入したりしません。感染したオブジェクトが何らかの理由でウイルス機能に関係なく他のコンピュータで有効になっている場合にのみ、ウイルスのコピーがリモートコンピュータに届きます。たとえば、アクセス可能なディスクに感染すると、ウイルスはネットワークリソースにあるファイルに侵入し、ウイルスは自身をリムーバブルストレージデバイスにコピーしたり、リムーバブルデバイス上のファイルに感染させたりします。ユーザーは感染した添付ファイル付きの電子メールを送信します。プラットフォーム: DOS
No platform description説明
技術的な詳細
それは危険な記憶ではない常駐ウイルスです。アーカイブファイルを検索して感染させます。幸いにも、それはアーカイブのフォーマットのみを検索します。感染のアーカイブファイルはARJ標準のみでなければなりません。これらのファイルアーカイブは、ARJ.EXEコンプレッサーの結果です。
ARJ.EXEは、圧縮形式で1つまたは複数のアーカイブ(slang-arjive)ファイルに1つまたは複数のファイル(サブディレクトリを含む)を圧縮および格納することを可能にするアーカイバプログラムです。このソフトウェアは、Robert K Jungの著作権で保護されています(c)1990-1993。
このウイルスは、標準DOSウイルスよりもワームであり、5000バイトの長さです。これらのファイルは、(ウイルス)コピーで更新されます。実行時に、この感染者は "* .arj"マスク(ARJ拡張子を持つファイルはARJ.EXEユーティリティで作成され、圧縮ファイルを含む)を使用してARJ拡張子のファイルを検索します。現在およびすべての親ディレクトリのARJファイルを検索します。
ARJアーカイブファイルが見つかった場合、ウイルスはランダムに選択された名前とCOM拡張子を持つ一時ファイルを作成します。この名前は 'A' t0 'V'の4文字で構成されています。 'V'制限は、このウイルスが文字数に0Fhの制限を使用するため、15番目の文字(0Fh)が 'V'であるためです。結果の名前はBHPL.COM、NLJJ.COM、OKPD.COMなどのようになります。その後、ウイルスはこのCOMファイルに自身(5000バイト)を書き込んで、選択した長さのランダムなガベージバイトをファイルに追加します。ウイルスは、そのゴミの長さが実行可能なCOMファイルの最大長を超えてはならないことを確認します。結果ワームファイルの長さは5000バイトを超えています。 5000バイトは、感染したファイルに格納されているワームの本体の長さです。
その後、ウイルスはそのファイルを見つかったアーカイブに挿入します。それは最も簡単な方法でそれを行います - ウイルスは、ARJ.EXEユーティリティを強制的に作成します。 ARJ.EXEスイッチの1つは "a"文字で、ARJアーカイブファイルにファイルを追加します。また、このオプションを使用すると、標準のC関数を使用して "a"文字でARJ.EXEを実行します。実行される文字列は次のようになります。
c:command.com / c arj aどこで.com
このコマンドの実行時にアーカイバARJ.EXEが圧縮され、見つかったアーカイブファイルにワームを追加します。その後、ウイルスは一時ファイルを削除し、次のARJファイルを検索します。現在のディレクトリにアーカイブファイルがない場合、ウイルスは親ディレクトリにジャンプします。現在のディレクトリがディスクルートディレクトリの場合、ウイルスはDOSに戻ります。
この感染者の特徴の1つは重複感染である。アーカイブを実行すると、ウイルスはそのファイルの有無をチェックしません。どのようにしてこのファイルをチェックできますか?内部でアーカイブをチェックするのは簡単な作業ではありません。このウイルスの作成者は、オブジェクトとして感染を重複して設定していないことがわかりました。彼は新しいアイデアを最も簡単な方法で実現しました。
ウイルスは、ワームファイルのランダムな名前を生成します。ときには、それは感染のためのARJファイルに存在する名前を生成することができます。その結果、そのファイルはウイルスによって上書きされ、そのファイルの内容は失われます。もちろん、この場合、ワームファイルの実行の確率が高くなります。
その広がりを隠すために、ウイルスはINT 10hをフックします - ビデオ割り込み。標準出力を無効にするIRET命令に設定します。この機能はウィルスを隠しますが、ウィルスアクティビティエラーが発生した場合、ARJ.EXEプログラムまたはDOSはエラーメッセージを表示します(たとえば、「ドライブA:書き込みエラーを書き込めません」)。しかし、ウイルスは出力を無効にし、ユーザーには空白の画面しか表示されません。コンピュータがハングアップしているように見えます。ところで、MS-Windows上の仮想DOSマシンは、書き込み保護エラー時に全画面テキストモードに切り替わり、別のタスクに切り替えることは不可能です。最後の注意:このウイルスには短い内部テキスト文字列が含まれています:
* .arj .. 0000.com / c arj ac:command.com
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com