本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.DOS.ArjVirus

クラス Virus
プラットフォーム DOS
説明

技術的な詳細

それは危険な記憶ではない常駐ウイルスです。アーカイブファイルを検索して感染させます。幸いにも、それはアーカイブのフォーマットのみを検索します。感染のアーカイブファイルはARJ標準のみでなければなりません。これらのファイルアーカイブは、ARJ.EXEコンプレッサーの結果です。

ARJ.EXEは、圧縮形式で1つまたは複数のアーカイブ(slang-arjive)ファイルに1つまたは複数のファイル(サブディレクトリを含む)を圧縮および格納することを可能にするアーカイバプログラムです。このソフトウェアは、Robert K Jungの著作権で保護されています(c)1990-1993。

このウイルスは、標準DOSウイルスよりもワームであり、5000バイトの長さです。これらのファイルは、(ウイルス)コピーで更新されます。実行時に、この感染者は "* .arj"マスク(ARJ拡張子を持つファイルはARJ.EXEユーティリティで作成され、圧縮ファイルを含む)を使用してARJ拡張子のファイルを検索します。現在およびすべての親ディレクトリのARJファイルを検索します。

ARJアーカイブファイルが見つかった場合、ウイルスはランダムに選択された名前とCOM拡張子を持つ一時ファイルを作成します。この名前は 'A' t0 'V'の4文字で構成されています。 'V'制限は、このウイルスが文字数に0Fhの制限を使用するため、15番目の文字(0Fh)が 'V'であるためです。結果の名前はBHPL.COM、NLJJ.COM、OKPD.COMなどのようになります。その後、ウイルスはこのCOMファイルに自身(5000バイト)を書き込んで、選択した長さのランダムなガベージバイトをファイルに追加します。ウイルスは、そのゴミの長さが実行可能なCOMファイルの最大長を超えてはならないことを確認します。結果ワームファイルの長さは5000バイトを超えています。 5000バイトは、感染したファイルに格納されているワームの本体の長さです。

その後、ウイルスはそのファイルを見つかったアーカイブに挿入します。それは最も簡単な方法でそれを行います – ウイルスは、ARJ.EXEユーティリティを強制的に作成します。 ARJ.EXEスイッチの1つは "a"文字で、ARJアーカイブファイルにファイルを追加します。また、このオプションを使用すると、標準のC関数を使用して "a"文字でARJ.EXEを実行します。実行される文字列は次のようになります。


c:command.com / c arj a .com
どこで見つかったARJアーカイブの拡張子を持つ名前です。 上記で説明した長さランダム選択名の4バイトです。 "/ c"スイッチは、破損したプログラム(ARJ.EXE)を実行し、すぐに終了します。

このコマンドの実行時にアーカイバARJ.EXEが圧縮され、見つかったアーカイブファイルにワームを追加します。その後、ウイルスは一時ファイルを削除し、次のARJファイルを検索します。現在のディレクトリにアーカイブファイルがない場合、ウイルスは親ディレクトリにジャンプします。現在のディレクトリがディスクルートディレクトリの場合、ウイルスはDOSに戻ります。

この感染者の特徴の1つは重複感染である。アーカイブを実行すると、ウイルスはそのファイルの有無をチェックしません。どのようにしてこのファイルをチェックできますか?内部でアーカイブをチェックするのは簡単な作業ではありません。このウイルスの作成者は、オブジェクトとして感染を重複して設定していないことがわかりました。彼は新しいアイデアを最も簡単な方法で実現しました。

ウイルスは、ワームファイルのランダムな名前を生成します。ときには、それは感染のためのARJファイルに存在する名前を生成することができます。その結果、そのファイルはウイルスによって上書きされ、そのファイルの内容は失われます。もちろん、この場合、ワームファイルの実行の確率が高くなります。

その広がりを隠すために、ウイルスはINT 10hをフックします – ビデオ割り込み。標準出力を無効にするIRET命令に設定します。この機能はウィルスを隠しますが、ウィルスアクティビティエラーが発生した場合、ARJ.EXEプログラムまたはDOSはエラーメッセージを表示します(たとえば、「ドライブA:書き込みエラーを書き込めません」)。しかし、ウイルスは出力を無効にし、ユーザーには空白の画面しか表示されません。コンピュータがハングアップしているように見えます。ところで、MS-Windows上の仮想DOSマシンは、書き込み保護エラー時に全画面テキストモードに切り替わり、別のタスクに切り替えることは不可能です。最後の注意:このウイルスには短い内部テキスト文字列が含まれています:


* .arj .. 0000.com / c arj ac:command.com


オリジナルへのリンク