親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Virus
ウィルスは、ローカルマシンのリソース上で複製します。ワームとは異なり、ウイルスはネットワークサービスを使用して他のコンピュータに伝播したり侵入したりしません。感染したオブジェクトが何らかの理由でウイルス機能に関係なく他のコンピュータで有効になっている場合にのみ、ウイルスのコピーがリモートコンピュータに届きます。たとえば、アクセス可能なディスクに感染すると、ウイルスはネットワークリソースにあるファイルに侵入し、ウイルスは自身をリムーバブルストレージデバイスにコピーしたり、リムーバブルデバイス上のファイルに感染させたりします。ユーザーは感染した添付ファイル付きの電子メールを送信します。プラットフォーム: MSOffice
Microsoft Officeは、マイクロソフトが発行する生産性アプリケーションのマルチプラットフォームスイートです。 Officeアプリケーションは、多くの種類のファイルとコンテンツと互換性があります。説明
技術的な詳細
このマクロウイルスは、Word文書とExcelシートという2つのOffice97アプリケーションに感染します。異なるOffice97アプリケーションと互換性を保つために、ウイルスはVisualBasicとの互換性を使用し、WordとExcelの両方で同じコードを使用します。
ウイルスは、ファイルが開かれたときにシステム、ドキュメント、およびシートに感染します(WordではAutoOpen、ExcelではAuto_Open)。このウイルスに感染すると、C:SHIVER.SYSファイルを介してエクスポート/インポートOffice97関数が使用されます。コードをそこに書き出し(エクスポートし)、感染しているオブジェクトに読み込み(インポート)ます。
WordとExcelの両方で、ウイルスは標準的な手法を使用して自身を複製します。 Wordファイルに感染すると、ウイルスはそのコードを文書またはグローバルマクロ領域(NORMAL.DOT)にコピーします。 Excelの下では、ウイルスはシートのアクティベーションプロセスをフックし、ハンドラとして感染マクロShiverTimeを設定します。ウイルスはまた、感染したPERSONAL.XLSファイルをExcelの起動ディレクトリに保存し、結果としてシステムのExcel領域に感染します。
1つはWord(AutoExit)を残し、ウイルスはそのコードをWordからExcelに広げようとします。ウイルスはDDE機能を使用します。最小化されたウィンドウでExcelを実行し、Excelの起動ディレクトリに感染したPERSONAL.XLSファイルを作成するために必要なデータとコマンドを渡します。このウイルスは同様の方法でExcelのWordに感染します。最小化されたWordを実行し、Visual Basic Editorを開き、C:SHIVER.SYSファイルからそのコードを読み取ります。
このウイルスは感染後にC:SHIVER.SYSファイルを削除せず、メインのウイルスコードが文書およびNORMAL.DOTで削除(駆除)された場合にWordを再感染させます。これを行うために、各Word起動時のウイルスは、Word起動ディレクトリのWORD8.DOTファイルを探します。そのようなファイルがない場合、ウイルスはそのファイルを作成し、そこに短いFileSaveAsマクロを書き込みます。このマクロには、C:SHIVER.SYSから新しい名前で保存されたドキュメントにウイルスコードをインポートするコマンドが含まれています。その結果、すべての文書とNORMAL.DOTが消毒された場合、ウイルスはアクティブな状態を維持します。ウイルスは、WORD8.DOTドロッパーを作成するために、同じエクスポート/インポート方法を使用します。ソースコードバッファにはC:SENTRY.SYSファイルが使用されます。
システム内の存在を検出するために、ウイルスはシステムレジストリを使用し、そのID値をキー「HKEY_CURRENT_USERSoftwareVBおよびVBA Program SettingsOffice8.0」に書き込みます。システムにウイルスの有無をマークする2つの値があります。
シバ[DDE] = ALT-F11シバ[DDE] = NoNos(システムのランダムカウンタに応じて、このキーは "NoNos(" NoNos)にリセットされ、WordおよびExcelスタートアップディレクトリの感染したWORD8.DOTおよびPERSONAL.XLSが感染ルーチンによって強制的に更新されます。
ウイルス内部
1つの「Module1」に18個のマクロが含まれています。AutoExec - Wordの自動機能、Wordの再感染ルーチンを含むAutoOpen - Wordの自動機能、Word文書の感染ルーチンを含むWordStealth - ステルスマクロを追加するToolsMacro、FileTemplates、ViewVBCodeWordのグローバルマクロ(NORMAL.DOT)AutoExit - Wordの自動機能がExcelに感染するFindExcel - Excel検索ルーチンPersonalFun - Excelの感染に使用CheckMarker - "ここにいるの?"関数は、レジストリをチェックしますMakeMarker - ウイルスIDをレジストリに書き込むPXL_Done - Excelの感染に使用されるAuto_Open - Excelの自動機能、シートのアクティブ化ルーチンのフックShiverTime - 活性化フカと感染器シートwdTrigger - ワードトリガールーチンxlTrigger - ExcelトリガルーチンAuto_Close - Excelの自動機能がウイルスをWordに広げる遅延 - Wordの感染に使用されますwdReEvalInfection - Excelのstartup-dirに感染したPERSONAL.XLSを探します。xlReEvalInfection - Wordのstartup-dirに感染したWORD8.DOTを探します。DDE_Info - 何もしないマクロ。「著作権」を含みます:ALT-F11の助けを借りて[DDE]をシバにするこれは、The Alternative Virus Mafia(AVM)によって最初に作られたウイルスです。ALT-F4 - 「私は死にかけて生まれました」ALT-F11 - 「思考のない行動」
トリガールーチン
ウイルスにはステルス能力があります。 Excelの下で、メニュー項目[ウィンドウ/再表示解除...]および[ツール/マクロ]を無効にします。 Wordでは、モジュール "ThisDocument"のNORMAL.DOT:ToolsMacro、FileTemplates、ViewVBCodeにステルスマクロも作成されます。その結果、ウイルスはそのコードを隠します。ウイルスはOffice97ウイルスの保護も無効にします。システムのランダムカウンタに応じて、ウイルスは次のようなエフェクトを実行します。
- Excelでは、ランダムに選択したセルにコメントを挿入します。
シェア[DDE] by ALT-F11
- WordではC:SISTER.DLLファイルを作成し、そこにテキストを書き込み、それを表示するためにWRITEを実行します。
ちょっと男、私はあなたの姉妹のようにちょっと男、私はそれがクールだと思うヘイ・マン、アイ・キンダ・ロス・マイ・マインドすべてのシングルタイム私はあなたの姉妹を見つけるプールで日焼けしたちょっと男、私は彼女の裸を見たいねえ、私はいつも彼女の部屋です誰もいなくても一人一人彼女の下着を通って行くこんにちは、私は彼女をすぐに見なければなりませんねえ、私は決して彼女の妊娠を取得しませんしかし、ヘイ・マン、どうやって彼女に抵抗できますか?私は彼女のウェディングバンドを与える日あなたは私の最高の男になるつもりですか?ちょっと男、私はあなたの姉妹のように私はあなたの姉妹のように私はあなたの姉妹のように私は彼女のようなKinda
- Wordでは、メニュー項目の名前を変更します。
ツール/マクロ= "Shiver [DDE] by ALT-F11"ファイル/バージョン... = "カムステンドシート..."特別な編集/貼り付け= "ねえ、あなたのお母さんは..."Insert / Break ... = "MDMAをしたいですか?"ヘルプ/ Microsoft Wordについて= "平和、愛、薬物"ファイル/プロパティ= "私は幸せになります、あなたはちょうど死ぬでしょう"編集/移動... = "Heywood Jablowmi"ツール/ワードカウント= "ボディカウント"フォーマット/フォント... = "カンツ"ファイル/閉じる= "服なし"ウィンドウ/分割= "Blow Me"挿入/画像= "Crusty Porn GIF"ファイル/印刷... = "My Balls Itch"書式/箇条書きと段落番号= "丸薬と針"テーブル/テーブルの挿入... = "挿入とプローブ"ツール/カスタマイズ... = "Sodomize ..."ツール/スペルチェックと文法... = "スペルとおばあちゃん..."表示/ツールバー= "ゲイバーズ"ビュー/マスタードキュメント= "マスターベーション"
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com