本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.MSOffice.Shiver

クラス Virus
プラットフォーム MSOffice
説明

技術的な詳細

このマクロウイルスは、Word文書とExcelシートという2つのOffice97アプリケーションに感染します。異なるOffice97アプリケーションと互換性を保つために、ウイルスはVisualBasicとの互換性を使用し、WordとExcelの両方で同じコードを使用します。

ウイルスは、ファイルが開かれたときにシステム、ドキュメント、およびシートに感染します(WordではAutoOpen、ExcelではAuto_Open)。このウイルスに感染すると、C:SHIVER.SYSファイルを介してエクスポート/インポートOffice97関数が使用されます。コードをそこに書き出し(エクスポートし)、感染しているオブジェクトに読み込み(インポート)ます。

WordとExcelの両方で、ウイルスは標準的な手法を使用して自身を複製します。 Wordファイルに感染すると、ウイルスはそのコードを文書またはグローバルマクロ領域(NORMAL.DOT)にコピーします。 Excelの下では、ウイルスはシートのアクティベーションプロセスをフックし、ハンドラとして感染マクロShiverTimeを設定します。ウイルスはまた、感染したPERSONAL.XLSファイルをExcelの起動ディレクトリに保存し、結果としてシステムのExcel領域に感染します。

1つはWord(AutoExit)を残し、ウイルスはそのコードをWordからExcelに広げようとします。ウイルスはDDE機能を使用します。最小化されたウィンドウでExcelを実行し、Excelの起動ディレクトリに感染したPERSONAL.XLSファイルを作成するために必要なデータとコマンドを渡します。このウイルスは同様の方法でExcelのWordに感染します。最小化されたWordを実行し、Visual Basic Editorを開き、C:SHIVER.SYSファイルからそのコードを読み取ります。

このウイルスは感染後にC:SHIVER.SYSファイルを削除せず、メインのウイルスコードが文書およびNORMAL.DOTで削除(駆除)された場合にWordを再感染させます。これを行うために、各Word起動時のウイルスは、Word起動ディレクトリのWORD8.DOTファイルを探します。そのようなファイルがない場合、ウイルスはそのファイルを作成し、そこに短いFileSaveAsマクロを書き込みます。このマクロには、C:SHIVER.SYSから新しい名前で保存されたドキュメントにウイルスコードをインポートするコマンドが含まれています。その結果、すべての文書とNORMAL.DOTが消毒された場合、ウイルスはアクティブな状態を維持します。ウイルスは、WORD8.DOTドロッパーを作成するために、同じエクスポート/インポート方法を使用します。ソースコードバッファにはC:SENTRY.SYSファイルが使用されます。

システム内の存在を検出するために、ウイルスはシステムレジストリを使用し、そのID値をキー「HKEY_CURRENT_USERSoftwareVBおよびVBA Program SettingsOffice8.0」に書き込みます。システムにウイルスの有無をマークする2つの値があります。


シバ[DDE] = ALT-F11
シバ[DDE] = NoNos(
システムのランダムカウンタに応じて、このキーは "NoNos(" NoNos)にリセットされ、WordおよびExcelスタートアップディレクトリの感染したWORD8.DOTおよびPERSONAL.XLSが感染ルーチンによって強制的に更新されます。

ウイルス内部

1つの「Module1」に18個のマクロが含まれています。

AutoExec – Wordの自動機能、Wordの再感染ルーチンを含む
AutoOpen – Wordの自動機能、Word文書の感染ルーチンを含む
WordStealth – ステルスマクロを追加するToolsMacro、FileTemplates、ViewVBCode
Wordのグローバルマクロ(NORMAL.DOT)
AutoExit – Wordの自動機能がExcelに感染する
FindExcel – Excel検索ルーチン
PersonalFun – Excelの感染に使用
CheckMarker – "ここにいるの?"関数は、レジストリをチェックします
MakeMarker – ウイルスIDをレジストリに書き込む
PXL_Done – Excelの感染に使用される
Auto_Open – Excelの自動機能、シートのアクティブ化ルーチンのフック
ShiverTime – 活性化フカと感染器シート
wdTrigger – ワードトリガールーチン
xlTrigger – Excelトリガルーチン
Auto_Close – Excelの自動機能がウイルスをWordに広げる
遅延 – Wordの感染に使用されます
wdReEvalInfection – Excelのstartup-dirに感染したPERSONAL.XLSを探します。
xlReEvalInfection – Wordのstartup-dirに感染したWORD8.DOTを探します。
DDE_Info – 何もしないマクロ。「著作権」を含みます:
ALT-F11の助けを借りて[DDE]をシバにする
これは、The Alternative Virus Mafia(AVM)によって最初に作られたウイルスです。
ALT-F4 – 「私は死にかけて生まれました」
ALT-F11 – 「思考のない行動」

トリガールーチン

ウイルスにはステルス能力があります。 Excelの下で、メニュー項目[ウィンドウ/再表示解除…]および[ツール/マクロ]を無効にします。 Wordでは、モジュール "ThisDocument"のNORMAL.DOT:ToolsMacro、FileTemplates、ViewVBCodeにステルスマクロも作成されます。その結果、ウイルスはそのコードを隠します。ウイルスはOffice97ウイルスの保護も無効にします。

システムのランダムカウンタに応じて、ウイルスは次のようなエフェクトを実行します。

  • Excelでは、ランダムに選択したセルにコメントを挿入します。

    シェア[DDE] by ALT-F11
  • WordではC:SISTER.DLLファイルを作成し、そこにテキストを書き込み、それを表示するためにWRITEを実行します。

    ちょっと男、私はあなたの姉妹のように
    ちょっと男、私はそれがクールだと思う
    ヘイ・マン、アイ・キンダ・ロス・マイ・マインド
    すべてのシングルタイム私はあなたの姉妹を見つける
    プールで日焼けした
    ちょっと男、私は彼女の裸を見たい
    ねえ、私はいつも彼女の部屋です
    誰もいなくても一人一人
    彼女の下着を通って行く
    こんにちは、私は彼女をすぐに見なければなりません
    ねえ、私は決して彼女の妊娠を取得しません
    しかし、ヘイ・マン、どうやって彼女に抵抗できますか?
    私は彼女のウェディングバンドを与える日
    あなたは私の最高の男になるつもりですか?
    ちょっと男、私はあなたの姉妹のように
    私はあなたの姉妹のように
    私はあなたの姉妹のように
    私は彼女のようなKinda
  • Wordでは、メニュー項目の名前を変更します。

    ツール/マクロ= "Shiver [DDE] by ALT-F11"
    ファイル/バージョン… = "カムステンドシート…"
    特別な編集/貼り付け= "ねえ、あなたのお母さんは…"
    Insert / Break … = "MDMAをしたいですか?"
    ヘルプ/ Microsoft Wordについて= "平和、愛、薬物"
    ファイル/プロパティ= "私は幸せになります、あなたはちょうど死ぬでしょう"
    編集/移動… = "Heywood Jablowmi"
    ツール/ワードカウント= "ボディカウント"
    フォーマット/フォント… = "カンツ"
    ファイル/閉じる= "服なし"
    ウィンドウ/分割= "Blow Me"
    挿入/画像= "Crusty Porn GIF"
    ファイル/印刷… = "My Balls Itch"
    書式/箇条書きと段落番号= "丸薬と針"
    テーブル/テーブルの挿入… = "挿入とプローブ"
    ツール/カスタマイズ… = "Sodomize …"
    ツール/スペルチェックと文法… = "スペルとおばあちゃん…"
    表示/ツールバー= "ゲイバーズ"
    ビュー/マスタードキュメント= "マスターベーション"


オリジナルへのリンク
お住まいの地域に広がる脅威の統計をご覧ください