本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。
Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
クラス | Virus |
プラットフォーム | MSOffice |
説明 |
技術的な詳細このマクロウイルスは、Word文書とExcelシートという2つのOffice97アプリケーションに感染します。異なるOffice97アプリケーションと互換性を保つために、ウイルスはVisualBasicとの互換性を使用し、WordとExcelの両方で同じコードを使用します。 ウイルスは、ファイルが開かれたときにシステム、ドキュメント、およびシートに感染します(WordではAutoOpen、ExcelではAuto_Open)。このウイルスに感染すると、C:SHIVER.SYSファイルを介してエクスポート/インポートOffice97関数が使用されます。コードをそこに書き出し(エクスポートし)、感染しているオブジェクトに読み込み(インポート)ます。 WordとExcelの両方で、ウイルスは標準的な手法を使用して自身を複製します。 Wordファイルに感染すると、ウイルスはそのコードを文書またはグローバルマクロ領域(NORMAL.DOT)にコピーします。 Excelの下では、ウイルスはシートのアクティベーションプロセスをフックし、ハンドラとして感染マクロShiverTimeを設定します。ウイルスはまた、感染したPERSONAL.XLSファイルをExcelの起動ディレクトリに保存し、結果としてシステムのExcel領域に感染します。 1つはWord(AutoExit)を残し、ウイルスはそのコードをWordからExcelに広げようとします。ウイルスはDDE機能を使用します。最小化されたウィンドウでExcelを実行し、Excelの起動ディレクトリに感染したPERSONAL.XLSファイルを作成するために必要なデータとコマンドを渡します。このウイルスは同様の方法でExcelのWordに感染します。最小化されたWordを実行し、Visual Basic Editorを開き、C:SHIVER.SYSファイルからそのコードを読み取ります。 このウイルスは感染後にC:SHIVER.SYSファイルを削除せず、メインのウイルスコードが文書およびNORMAL.DOTで削除(駆除)された場合にWordを再感染させます。これを行うために、各Word起動時のウイルスは、Word起動ディレクトリのWORD8.DOTファイルを探します。そのようなファイルがない場合、ウイルスはそのファイルを作成し、そこに短いFileSaveAsマクロを書き込みます。このマクロには、C:SHIVER.SYSから新しい名前で保存されたドキュメントにウイルスコードをインポートするコマンドが含まれています。その結果、すべての文書とNORMAL.DOTが消毒された場合、ウイルスはアクティブな状態を維持します。ウイルスは、WORD8.DOTドロッパーを作成するために、同じエクスポート/インポート方法を使用します。ソースコードバッファにはC:SENTRY.SYSファイルが使用されます。 システム内の存在を検出するために、ウイルスはシステムレジストリを使用し、そのID値をキー「HKEY_CURRENT_USERSoftwareVBおよびVBA Program SettingsOffice8.0」に書き込みます。システムにウイルスの有無をマークする2つの値があります。 シバ[DDE] = ALT-F11シバ[DDE] = NoNos(システムのランダムカウンタに応じて、このキーは "NoNos(" NoNos)にリセットされ、WordおよびExcelスタートアップディレクトリの感染したWORD8.DOTおよびPERSONAL.XLSが感染ルーチンによって強制的に更新されます。 ウイルス内部1つの「Module1」に18個のマクロが含まれています。AutoExec – Wordの自動機能、Wordの再感染ルーチンを含むAutoOpen – Wordの自動機能、Word文書の感染ルーチンを含むWordStealth – ステルスマクロを追加するToolsMacro、FileTemplates、ViewVBCodeWordのグローバルマクロ(NORMAL.DOT)AutoExit – Wordの自動機能がExcelに感染するFindExcel – Excel検索ルーチンPersonalFun – Excelの感染に使用CheckMarker – "ここにいるの?"関数は、レジストリをチェックしますMakeMarker – ウイルスIDをレジストリに書き込むPXL_Done – Excelの感染に使用されるAuto_Open – Excelの自動機能、シートのアクティブ化ルーチンのフックShiverTime – 活性化フカと感染器シートwdTrigger – ワードトリガールーチンxlTrigger – ExcelトリガルーチンAuto_Close – Excelの自動機能がウイルスをWordに広げる遅延 – Wordの感染に使用されますwdReEvalInfection – Excelのstartup-dirに感染したPERSONAL.XLSを探します。xlReEvalInfection – Wordのstartup-dirに感染したWORD8.DOTを探します。DDE_Info – 何もしないマクロ。「著作権」を含みます:ALT-F11の助けを借りて[DDE]をシバにするこれは、The Alternative Virus Mafia(AVM)によって最初に作られたウイルスです。ALT-F4 – 「私は死にかけて生まれました」ALT-F11 – 「思考のない行動」 トリガールーチンウイルスにはステルス能力があります。 Excelの下で、メニュー項目[ウィンドウ/再表示解除…]および[ツール/マクロ]を無効にします。 Wordでは、モジュール "ThisDocument"のNORMAL.DOT:ToolsMacro、FileTemplates、ViewVBCodeにステルスマクロも作成されます。その結果、ウイルスはそのコードを隠します。ウイルスはOffice97ウイルスの保護も無効にします。システムのランダムカウンタに応じて、ウイルスは次のようなエフェクトを実行します。
|
オリジナルへのリンク |
|
お住まいの地域に広がる脅威の統計をご覧ください |