Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

それは危険な記憶ではない常駐ウイルスです。アーカイブファイルを検索して感染させます。幸いにも、それはアーカイブのフォーマットのみを検索します。感染のアーカイブファイルはARJ標準のみでなければなりません。これらのファイルアーカイブは、ARJ.EXEコンプレッサーの結果です。

ARJ.EXEは、圧縮形式で1つまたは複数のアーカイブ（slang-arjive）ファイルに1つまたは複数のファイル（サブディレクトリを含む）を圧縮および格納することを可能にするアーカイバプログラムです。このソフトウェアは、Robert K Jungの著作権で保護されています（c）1990-1993。

このウイルスは、標準DOSウイルスよりもワームであり、5000バイトの長さです。これらのファイルは、（ウイルス）コピーで更新されます。実行時に、この感染者は "* .arj"マスク（ARJ拡張子を持つファイルはARJ.EXEユーティリティで作成され、圧縮ファイルを含む）を使用してARJ拡張子のファイルを検索します。現在およびすべての親ディレクトリのARJファイルを検索します。

ARJアーカイブファイルが見つかった場合、ウイルスはランダムに選択された名前とCOM拡張子を持つ一時ファイルを作成します。この名前は 'A' t0 'V'の4文字で構成されています。 'V'制限は、このウイルスが文字数に0Fhの制限を使用するため、15番目の文字（0Fh）が 'V'であるためです。結果の名前はBHPL.COM、NLJJ.COM、OKPD.COMなどのようになります。その後、ウイルスはこのCOMファイルに自身（5000バイト）を書き込んで、選択した長さのランダムなガベージバイトをファイルに追加します。ウイルスは、そのゴミの長さが実行可能なCOMファイルの最大長を超えてはならないことを確認します。結果ワームファイルの長さは5000バイトを超えています。 5000バイトは、感染したファイルに格納されているワームの本体の長さです。

その後、ウイルスはそのファイルを見つかったアーカイブに挿入します。それは最も簡単な方法でそれを行います – ウイルスは、ARJ.EXEユーティリティを強制的に作成します。 ARJ.EXEスイッチの1つは "a"文字で、ARJアーカイブファイルにファイルを追加します。また、このオプションを使用すると、標準のC関数を使用して "a"文字でARJ.EXEを実行します。実行される文字列は次のようになります。



c：command.com / c arj a  .com

どこで見つかったARJアーカイブの拡張子を持つ名前です。上記で説明した長さランダム選択名の4バイトです。 "/ c"スイッチは、破損したプログラム（ARJ.EXE）を実行し、すぐに終了します。

このコマンドの実行時にアーカイバARJ.EXEが圧縮され、見つかったアーカイブファイルにワームを追加します。その後、ウイルスは一時ファイルを削除し、次のARJファイルを検索します。現在のディレクトリにアーカイブファイルがない場合、ウイルスは親ディレクトリにジャンプします。現在のディレクトリがディスクルートディレクトリの場合、ウイルスはDOSに戻ります。

この感染者の特徴の1つは重複感染である。アーカイブを実行すると、ウイルスはそのファイルの有無をチェックしません。どのようにしてこのファイルをチェックできますか？内部でアーカイブをチェックするのは簡単な作業ではありません。このウイルスの作成者は、オブジェクトとして感染を重複して設定していないことがわかりました。彼は新しいアイデアを最も簡単な方法で実現しました。

ウイルスは、ワームファイルのランダムな名前を生成します。ときには、それは感染のためのARJファイルに存在する名前を生成することができます。その結果、そのファイルはウイルスによって上書きされ、そのファイルの内容は失われます。もちろん、この場合、ワームファイルの実行の確率が高くなります。

その広がりを隠すために、ウイルスはINT 10hをフックします – ビデオ割り込み。標準出力を無効にするIRET命令に設定します。この機能はウィルスを隠しますが、ウィルスアクティビティエラーが発生した場合、ARJ.EXEプログラムまたはDOSはエラーメッセージを表示します（たとえば、「ドライブA：書き込みエラーを書き込めません」）。しかし、ウイルスは出力を無効にし、ユーザーには空白の画面しか表示されません。コンピュータがハングアップしているように見えます。ところで、MS-Windows上の仮想DOSマシンは、書き込み保護エラー時に全画面テキストモードに切り替わり、別のタスクに切り替えることは不可能です。最後の注意：このウイルスには短い内部テキスト文字列が含まれています：



* .arj .. 0000.com / c arj ac：command.com

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Virus
プラットフォーム	DOS
説明	技術的な詳細それは危険な記憶ではない常駐ウイルスです。アーカイブファイルを検索して感染させます。幸いにも、それはアーカイブのフォーマットのみを検索します。感染のアーカイブファイルはARJ標準のみでなければなりません。これらのファイルアーカイブは、ARJ.EXEコンプレッサーの結果です。 ARJ.EXEは、圧縮形式で1つまたは複数のアーカイブ（slang-arjive）ファイルに1つまたは複数のファイル（サブディレクトリを含む）を圧縮および格納することを可能にするアーカイバプログラムです。このソフトウェアは、Robert K Jungの著作権で保護されています（c）1990-1993。このウイルスは、標準DOSウイルスよりもワームであり、5000バイトの長さです。これらのファイルは、（ウイルス）コピーで更新されます。実行時に、この感染者は "* .arj"マスク（ARJ拡張子を持つファイルはARJ.EXEユーティリティで作成され、圧縮ファイルを含む）を使用してARJ拡張子のファイルを検索します。現在およびすべての親ディレクトリのARJファイルを検索します。 ARJアーカイブファイルが見つかった場合、ウイルスはランダムに選択された名前とCOM拡張子を持つ一時ファイルを作成します。この名前は 'A' t0 'V'の4文字で構成されています。 'V'制限は、このウイルスが文字数に0Fhの制限を使用するため、15番目の文字（0Fh）が 'V'であるためです。結果の名前はBHPL.COM、NLJJ.COM、OKPD.COMなどのようになります。その後、ウイルスはこのCOMファイルに自身（5000バイト）を書き込んで、選択した長さのランダムなガベージバイトをファイルに追加します。ウイルスは、そのゴミの長さが実行可能なCOMファイルの最大長を超えてはならないことを確認します。結果ワームファイルの長さは5000バイトを超えています。 5000バイトは、感染したファイルに格納されているワームの本体の長さです。その後、ウイルスはそのファイルを見つかったアーカイブに挿入します。それは最も簡単な方法でそれを行います – ウイルスは、ARJ.EXEユーティリティを強制的に作成します。 ARJ.EXEスイッチの1つは "a"文字で、ARJアーカイブファイルにファイルを追加します。また、このオプションを使用すると、標準のC関数を使用して "a"文字でARJ.EXEを実行します。実行される文字列は次のようになります。 c：command.com / c arj a .com どこで見つかったARJアーカイブの拡張子を持つ名前です。上記で説明した長さランダム選択名の4バイトです。 "/ c"スイッチは、破損したプログラム（ARJ.EXE）を実行し、すぐに終了します。このコマンドの実行時にアーカイバARJ.EXEが圧縮され、見つかったアーカイブファイルにワームを追加します。その後、ウイルスは一時ファイルを削除し、次のARJファイルを検索します。現在のディレクトリにアーカイブファイルがない場合、ウイルスは親ディレクトリにジャンプします。現在のディレクトリがディスクルートディレクトリの場合、ウイルスはDOSに戻ります。この感染者の特徴の1つは重複感染である。アーカイブを実行すると、ウイルスはそのファイルの有無をチェックしません。どのようにしてこのファイルをチェックできますか？内部でアーカイブをチェックするのは簡単な作業ではありません。このウイルスの作成者は、オブジェクトとして感染を重複して設定していないことがわかりました。彼は新しいアイデアを最も簡単な方法で実現しました。ウイルスは、ワームファイルのランダムな名前を生成します。ときには、それは感染のためのARJファイルに存在する名前を生成することができます。その結果、そのファイルはウイルスによって上書きされ、そのファイルの内容は失われます。もちろん、この場合、ワームファイルの実行の確率が高くなります。その広がりを隠すために、ウイルスはINT 10hをフックします – ビデオ割り込み。標準出力を無効にするIRET命令に設定します。この機能はウィルスを隠しますが、ウィルスアクティビティエラーが発生した場合、ARJ.EXEプログラムまたはDOSはエラーメッセージを表示します（たとえば、「ドライブA：書き込みエラーを書き込めません」）。しかし、ウイルスは出力を無効にし、ユーザーには空白の画面しか表示されません。コンピュータがハングアップしているように見えます。ところで、MS-Windows上の仮想DOSマシンは、書き込み保護エラー時に全画面テキストモードに切り替わり、別のタスクに切り替えることは不可能です。最後の注意：このウイルスには短い内部テキスト文字列が含まれています： * .arj .. 0000.com / c arj ac：command.com
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Virus.DOS.ArjVirus

技術的な詳細