Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

このマクロウイルスは、Word文書とExcelシートという2つのOffice97アプリケーションに感染します。異なるOffice97アプリケーションと互換性を保つために、ウイルスはVisualBasicとの互換性を使用し、WordとExcelの両方で同じコードを使用します。

ウイルスは、ファイルが開かれたときにシステム、ドキュメント、およびシートに感染します（WordではAutoOpen、ExcelではAuto_Open）。このウイルスに感染すると、C：SHIVER.SYSファイルを介してエクスポート/インポートOffice97関数が使用されます。コードをそこに書き出し（エクスポートし）、感染しているオブジェクトに読み込み（インポート）ます。

WordとExcelの両方で、ウイルスは標準的な手法を使用して自身を複製します。 Wordファイルに感染すると、ウイルスはそのコードを文書またはグローバルマクロ領域（NORMAL.DOT）にコピーします。 Excelの下では、ウイルスはシートのアクティベーションプロセスをフックし、ハンドラとして感染マクロShiverTimeを設定します。ウイルスはまた、感染したPERSONAL.XLSファイルをExcelの起動ディレクトリに保存し、結果としてシステムのExcel領域に感染します。

1つはWord（AutoExit）を残し、ウイルスはそのコードをWordからExcelに広げようとします。ウイルスはDDE機能を使用します。最小化されたウィンドウでExcelを実行し、Excelの起動ディレクトリに感染したPERSONAL.XLSファイルを作成するために必要なデータとコマンドを渡します。このウイルスは同様の方法でExcelのWordに感染します。最小化されたWordを実行し、Visual Basic Editorを開き、C：SHIVER.SYSファイルからそのコードを読み取ります。

このウイルスは感染後にC：SHIVER.SYSファイルを削除せず、メインのウイルスコードが文書およびNORMAL.DOTで削除（駆除）された場合にWordを再感染させます。これを行うために、各Word起動時のウイルスは、Word起動ディレクトリのWORD8.DOTファイルを探します。そのようなファイルがない場合、ウイルスはそのファイルを作成し、そこに短いFileSaveAsマクロを書き込みます。このマクロには、C：SHIVER.SYSから新しい名前で保存されたドキュメントにウイルスコードをインポートするコマンドが含まれています。その結果、すべての文書とNORMAL.DOTが消毒された場合、ウイルスはアクティブな状態を維持します。ウイルスは、WORD8.DOTドロッパーを作成するために、同じエクスポート/インポート方法を使用します。ソースコードバッファにはC：SENTRY.SYSファイルが使用されます。

システム内の存在を検出するために、ウイルスはシステムレジストリを使用し、そのID値をキー「HKEY_CURRENT_USERSoftwareVBおよびVBA Program SettingsOffice8.0」に書き込みます。システムにウイルスの有無をマークする2つの値があります。



シバ[DDE] = ALT-F11

シバ[DDE] = NoNos（

システムのランダムカウンタに応じて、このキーは "NoNos（" NoNos）にリセットされ、WordおよびExcelスタートアップディレクトリの感染したWORD8.DOTおよびPERSONAL.XLSが感染ルーチンによって強制的に更新されます。

ウイルス内部

1つの「Module1」に18個のマクロが含まれています。



AutoExec  –  Wordの自動機能、Wordの再感染ルーチンを含む

AutoOpen  –  Wordの自動機能、Word文書の感染ルーチンを含む

WordStealth  – ステルスマクロを追加するToolsMacro、FileTemplates、ViewVBCode

Wordのグローバルマクロ（NORMAL.DOT）

AutoExit  –  Wordの自動機能がExcelに感染する

FindExcel  –  Excel検索ルーチン

PersonalFun  –  Excelの感染に使用

CheckMarker  –  "ここにいるの？"関数は、レジストリをチェックします

MakeMarker  – ウイルスIDをレジストリに書き込む

PXL_Done  –  Excelの感染に使用される

Auto_Open  –  Excelの自動機能、シートのアクティブ化ルーチンのフック

ShiverTime  – 活性化フカと感染器シート

wdTrigger  – ワードトリガールーチン

xlTrigger  –  Excelトリガルーチン

Auto_Close  –  Excelの自動機能がウイルスをWordに広げる

遅延 –  Wordの感染に使用されます

wdReEvalInfection  –  Excelのstartup-dirに感染したPERSONAL.XLSを探します。

xlReEvalInfection  –  Wordのstartup-dirに感染したWORD8.DOTを探します。

DDE_Info  – 何もしないマクロ。「著作権」を含みます：

ALT-F11の助けを借りて[DDE]をシバにする

これは、The Alternative Virus Mafia（AVM）によって最初に作られたウイルスです。

ALT-F4  – 「私は死にかけて生まれました」

ALT-F11  – 「思考のない行動」

トリガールーチン

ウイルスにはステルス能力があります。 Excelの下で、メニュー項目[ウィンドウ/再表示解除…]および[ツール/マクロ]を無効にします。 Wordでは、モジュール "ThisDocument"のNORMAL.DOT：ToolsMacro、FileTemplates、ViewVBCodeにステルスマクロも作成されます。その結果、ウイルスはそのコードを隠します。ウイルスはOffice97ウイルスの保護も無効にします。

システムのランダムカウンタに応じて、ウイルスは次のようなエフェクトを実行します。

Excelでは、ランダムに選択したセルにコメントを挿入します。
```
シェア[DDE] by ALT-F11
```

WordではC：SISTER.DLLファイルを作成し、そこにテキストを書き込み、それを表示するためにWRITEを実行します。



ちょっと男、私はあなたの姉妹のように

ちょっと男、私はそれがクールだと思う

ヘイ・マン、アイ・キンダ・ロス・マイ・マインド

すべてのシングルタイム私はあなたの姉妹を見つける

プールで日焼けした

ちょっと男、私は彼女の裸を見たい

ねえ、私はいつも彼女の部屋です

誰もいなくても一人一人

彼女の下着を通って行く

こんにちは、私は彼女をすぐに見なければなりません

ねえ、私は決して彼女の妊娠を取得しません

しかし、ヘイ・マン、どうやって彼女に抵抗できますか？

私は彼女のウェディングバンドを与える日

あなたは私の最高の男になるつもりですか？

ちょっと男、私はあなたの姉妹のように

私はあなたの姉妹のように

私はあなたの姉妹のように

私は彼女のようなKinda

Wordでは、メニュー項目の名前を変更します。



ツール/マクロ= "Shiver [DDE] by ALT-F11"

ファイル/バージョン… = "カムステンドシート…"

特別な編集/貼り付け= "ねえ、あなたのお母さんは…"

Insert / Break … = "MDMAをしたいですか？"

ヘルプ/ Microsoft Wordについて= "平和、愛、薬物"

ファイル/プロパティ= "私は幸せになります、あなたはちょうど死ぬでしょう"

編集/移動… = "Heywood Jablowmi"

ツール/ワードカウント= "ボディカウント"

フォーマット/フォント… = "カンツ"

ファイル/閉じる= "服なし"

ウィンドウ/分割= "Blow Me"

挿入/画像= "Crusty Porn GIF"

ファイル/印刷… = "My Balls Itch"

書式/箇条書きと段落番号= "丸薬と針"

テーブル/テーブルの挿入… = "挿入とプローブ"

ツール/カスタマイズ… = "Sodomize …"

ツール/スペルチェックと文法… = "スペルとおばあちゃん…"

表示/ツールバー= "ゲイバーズ"

ビュー/マスタードキュメント= "マスターベーション"

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Virus
プラットフォーム	MSOffice
説明	技術的な詳細このマクロウイルスは、Word文書とExcelシートという2つのOffice97アプリケーションに感染します。異なるOffice97アプリケーションと互換性を保つために、ウイルスはVisualBasicとの互換性を使用し、WordとExcelの両方で同じコードを使用します。ウイルスは、ファイルが開かれたときにシステム、ドキュメント、およびシートに感染します（WordではAutoOpen、ExcelではAuto_Open）。このウイルスに感染すると、C：SHIVER.SYSファイルを介してエクスポート/インポートOffice97関数が使用されます。コードをそこに書き出し（エクスポートし）、感染しているオブジェクトに読み込み（インポート）ます。 WordとExcelの両方で、ウイルスは標準的な手法を使用して自身を複製します。 Wordファイルに感染すると、ウイルスはそのコードを文書またはグローバルマクロ領域（NORMAL.DOT）にコピーします。 Excelの下では、ウイルスはシートのアクティベーションプロセスをフックし、ハンドラとして感染マクロShiverTimeを設定します。ウイルスはまた、感染したPERSONAL.XLSファイルをExcelの起動ディレクトリに保存し、結果としてシステムのExcel領域に感染します。 1つはWord（AutoExit）を残し、ウイルスはそのコードをWordからExcelに広げようとします。ウイルスはDDE機能を使用します。最小化されたウィンドウでExcelを実行し、Excelの起動ディレクトリに感染したPERSONAL.XLSファイルを作成するために必要なデータとコマンドを渡します。このウイルスは同様の方法でExcelのWordに感染します。最小化されたWordを実行し、Visual Basic Editorを開き、C：SHIVER.SYSファイルからそのコードを読み取ります。このウイルスは感染後にC：SHIVER.SYSファイルを削除せず、メインのウイルスコードが文書およびNORMAL.DOTで削除（駆除）された場合にWordを再感染させます。これを行うために、各Word起動時のウイルスは、Word起動ディレクトリのWORD8.DOTファイルを探します。そのようなファイルがない場合、ウイルスはそのファイルを作成し、そこに短いFileSaveAsマクロを書き込みます。このマクロには、C：SHIVER.SYSから新しい名前で保存されたドキュメントにウイルスコードをインポートするコマンドが含まれています。その結果、すべての文書とNORMAL.DOTが消毒された場合、ウイルスはアクティブな状態を維持します。ウイルスは、WORD8.DOTドロッパーを作成するために、同じエクスポート/インポート方法を使用します。ソースコードバッファにはC：SENTRY.SYSファイルが使用されます。システム内の存在を検出するために、ウイルスはシステムレジストリを使用し、そのID値をキー「HKEY_CURRENT_USERSoftwareVBおよびVBA Program SettingsOffice8.0」に書き込みます。システムにウイルスの有無をマークする2つの値があります。シバ[DDE] = ALT-F11 シバ[DDE] = NoNos（システムのランダムカウンタに応じて、このキーは "NoNos（" NoNos）にリセットされ、WordおよびExcelスタートアップディレクトリの感染したWORD8.DOTおよびPERSONAL.XLSが感染ルーチンによって強制的に更新されます。ウイルス内部 1つの「Module1」に18個のマクロが含まれています。 AutoExec – Wordの自動機能、Wordの再感染ルーチンを含む AutoOpen – Wordの自動機能、Word文書の感染ルーチンを含む WordStealth – ステルスマクロを追加するToolsMacro、FileTemplates、ViewVBCode Wordのグローバルマクロ（NORMAL.DOT） AutoExit – Wordの自動機能がExcelに感染する FindExcel – Excel検索ルーチン PersonalFun – Excelの感染に使用 CheckMarker – "ここにいるの？"関数は、レジストリをチェックします MakeMarker – ウイルスIDをレジストリに書き込む PXL_Done – Excelの感染に使用される Auto_Open – Excelの自動機能、シートのアクティブ化ルーチンのフック ShiverTime – 活性化フカと感染器シート wdTrigger – ワードトリガールーチン xlTrigger – Excelトリガルーチン Auto_Close – Excelの自動機能がウイルスをWordに広げる遅延 – Wordの感染に使用されます wdReEvalInfection – Excelのstartup-dirに感染したPERSONAL.XLSを探します。 xlReEvalInfection – Wordのstartup-dirに感染したWORD8.DOTを探します。 DDE_Info – 何もしないマクロ。「著作権」を含みます： ALT-F11の助けを借りて[DDE]をシバにするこれは、The Alternative Virus Mafia（AVM）によって最初に作られたウイルスです。 ALT-F4 – 「私は死にかけて生まれました」 ALT-F11 – 「思考のない行動」トリガールーチンウイルスにはステルス能力があります。 Excelの下で、メニュー項目[ウィンドウ/再表示解除…]および[ツール/マクロ]を無効にします。 Wordでは、モジュール "ThisDocument"のNORMAL.DOT：ToolsMacro、FileTemplates、ViewVBCodeにステルスマクロも作成されます。その結果、ウイルスはそのコードを隠します。ウイルスはOffice97ウイルスの保護も無効にします。システムのランダムカウンタに応じて、ウイルスは次のようなエフェクトを実行します。 Excelでは、ランダムに選択したセルにコメントを挿入します。シェア[DDE] by ALT-F11 WordではC：SISTER.DLLファイルを作成し、そこにテキストを書き込み、それを表示するためにWRITEを実行します。ちょっと男、私はあなたの姉妹のようにちょっと男、私はそれがクールだと思うヘイ・マン、アイ・キンダ・ロス・マイ・マインドすべてのシングルタイム私はあなたの姉妹を見つけるプールで日焼けしたちょっと男、私は彼女の裸を見たいねえ、私はいつも彼女の部屋です誰もいなくても一人一人彼女の下着を通って行くこんにちは、私は彼女をすぐに見なければなりませんねえ、私は決して彼女の妊娠を取得しませんしかし、ヘイ・マン、どうやって彼女に抵抗できますか？私は彼女のウェディングバンドを与える日あなたは私の最高の男になるつもりですか？ちょっと男、私はあなたの姉妹のように私はあなたの姉妹のように私はあなたの姉妹のように私は彼女のようなKinda Wordでは、メニュー項目の名前を変更します。ツール/マクロ= "Shiver [DDE] by ALT-F11" ファイル/バージョン… = "カムステンドシート…" 特別な編集/貼り付け= "ねえ、あなたのお母さんは…" Insert / Break … = "MDMAをしたいですか？" ヘルプ/ Microsoft Wordについて= "平和、愛、薬物" ファイル/プロパティ= "私は幸せになります、あなたはちょうど死ぬでしょう" 編集/移動… = "Heywood Jablowmi" ツール/ワードカウント= "ボディカウント" フォーマット/フォント… = "カンツ" ファイル/閉じる= "服なし" ウィンドウ/分割= "Blow Me" 挿入/画像= "Crusty Porn GIF" ファイル/印刷… = "My Balls Itch" 書式/箇条書きと段落番号= "丸薬と針" テーブル/テーブルの挿入… = "挿入とプローブ" ツール/カスタマイズ… = "Sodomize …" ツール/スペルチェックと文法… = "スペルとおばあちゃん…" 表示/ツールバー= "ゲイバーズ" ビュー/マスタードキュメント= "マスターベーション"
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Virus.MSOffice.Shiver

技術的な詳細

ウイルス内部

トリガールーチン