Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

このマクロウイルスは、Word文書とExcelシートという2つのOffice97アプリケーションに感染します。異なるOffice97アプリケーションと互換性を保つために、ウイルスはVisualBasicとの互換性を使用し、WordとExcelの両方で同じコードを使用します。

ウイルスは、ファイルが開かれたときにシステム、ドキュメント、およびシートに感染します（WordではAutoOpen、ExcelではAuto_Open）。このウイルスに感染すると、C：SHIVER.SYSファイルを介してエクスポート/インポートOffice97関数が使用されます。コードをそこに書き出し（エクスポートし）、感染しているオブジェクトに読み込み（インポート）ます。

WordとExcelの両方で、ウイルスは標準的な手法を使用して自身を複製します。 Wordファイルに感染すると、ウイルスはそのコードを文書またはグローバルマクロ領域（NORMAL.DOT）にコピーします。 Excelの下では、ウイルスはシートのアクティベーションプロセスをフックし、ハンドラとして感染マクロShiverTimeを設定します。ウイルスはまた、感染したPERSONAL.XLSファイルをExcelの起動ディレクトリに保存し、結果としてシステムのExcel領域に感染します。

1つはWord（AutoExit）を残し、ウイルスはそのコードをWordからExcelに広げようとします。ウイルスはDDE機能を使用します。最小化されたウィンドウでExcelを実行し、Excelの起動ディレクトリに感染したPERSONAL.XLSファイルを作成するために必要なデータとコマンドを渡します。このウイルスは同様の方法でExcelのWordに感染します。最小化されたWordを実行し、Visual Basic Editorを開き、C：SHIVER.SYSファイルからそのコードを読み取ります。

このウイルスは感染後にC：SHIVER.SYSファイルを削除せず、メインのウイルスコードが文書およびNORMAL.DOTで削除（駆除）された場合にWordを再感染させます。これを行うために、各Word起動時のウイルスは、Word起動ディレクトリのWORD8.DOTファイルを探します。そのようなファイルがない場合、ウイルスはそのファイルを作成し、そこに短いFileSaveAsマクロを書き込みます。このマクロには、C：SHIVER.SYSから新しい名前で保存されたドキュメントにウイルスコードをインポートするコマンドが含まれています。その結果、すべての文書とNORMAL.DOTが消毒された場合、ウイルスはアクティブな状態を維持します。ウイルスは、WORD8.DOTドロッパーを作成するために、同じエクスポート/インポート方法を使用します。ソースコードバッファにはC：SENTRY.SYSファイルが使用されます。

システム内の存在を検出するために、ウイルスはシステムレジストリを使用し、そのID値をキー「HKEY_CURRENT_USERSoftwareVBおよびVBA Program SettingsOffice8.0」に書き込みます。システムにウイルスの有無をマークする2つの値があります。

シバ[DDE] = ALT-F11シバ[DDE] = NoNos（

システムのランダムカウンタに応じて、このキーは "NoNos（" NoNos）にリセットされ、WordおよびExcelスタートアップディレクトリの感染したWORD8.DOTおよびPERSONAL.XLSが感染ルーチンによって強制的に更新されます。

ウイルス内部

1つの「Module1」に18個のマクロが含まれています。

AutoExec  –  Wordの自動機能、Wordの再感染ルーチンを含むAutoOpen  –  Wordの自動機能、Word文書の感染ルーチンを含むWordStealth  – ステルスマクロを追加するToolsMacro、FileTemplates、ViewVBCodeWordのグローバルマクロ（NORMAL.DOT）AutoExit  –  Wordの自動機能がExcelに感染するFindExcel  –  Excel検索ルーチンPersonalFun  –  Excelの感染に使用CheckMarker  –  "ここにいるの？"関数は、レジストリをチェックしますMakeMarker  – ウイルスIDをレジストリに書き込むPXL_Done  –  Excelの感染に使用されるAuto_Open  –  Excelの自動機能、シートのアクティブ化ルーチンのフックShiverTime  – 活性化フカと感染器シートwdTrigger  – ワードトリガールーチンxlTrigger  –  ExcelトリガルーチンAuto_Close  –  Excelの自動機能がウイルスをWordに広げる遅延 –  Wordの感染に使用されますwdReEvalInfection  –  Excelのstartup-dirに感染したPERSONAL.XLSを探します。xlReEvalInfection  –  Wordのstartup-dirに感染したWORD8.DOTを探します。DDE_Info  – 何もしないマクロ。「著作権」を含みます：ALT-F11の助けを借りて[DDE]をシバにするこれは、The Alternative Virus Mafia（AVM）によって最初に作られたウイルスです。ALT-F4  – 「私は死にかけて生まれました」ALT-F11  – 「思考のない行動」

トリガールーチン

ウイルスにはステルス能力があります。 Excelの下で、メニュー項目[ウィンドウ/再表示解除…]および[ツール/マクロ]を無効にします。 Wordでは、モジュール "ThisDocument"のNORMAL.DOT：ToolsMacro、FileTemplates、ViewVBCodeにステルスマクロも作成されます。その結果、ウイルスはそのコードを隠します。ウイルスはOffice97ウイルスの保護も無効にします。

システムのランダムカウンタに応じて、ウイルスは次のようなエフェクトを実行します。

Excelでは、ランダムに選択したセルにコメントを挿入します。
```
シェア[DDE] by ALT-F11
```

WordではC：SISTER.DLLファイルを作成し、そこにテキストを書き込み、それを表示するためにWRITEを実行します。

ちょっと男、私はあなたの姉妹のようにちょっと男、私はそれがクールだと思うヘイ・マン、アイ・キンダ・ロス・マイ・マインドすべてのシングルタイム私はあなたの姉妹を見つけるプールで日焼けしたちょっと男、私は彼女の裸を見たいねえ、私はいつも彼女の部屋です誰もいなくても一人一人彼女の下着を通って行くこんにちは、私は彼女をすぐに見なければなりませんねえ、私は決して彼女の妊娠を取得しませんしかし、ヘイ・マン、どうやって彼女に抵抗できますか？私は彼女のウェディングバンドを与える日あなたは私の最高の男になるつもりですか？ちょっと男、私はあなたの姉妹のように私はあなたの姉妹のように私はあなたの姉妹のように私は彼女のようなKinda

Wordでは、メニュー項目の名前を変更します。

ツール/マクロ= "Shiver [DDE] by ALT-F11"ファイル/バージョン… = "カムステンドシート…"特別な編集/貼り付け= "ねえ、あなたのお母さんは…"Insert / Break … = "MDMAをしたいですか？"ヘルプ/ Microsoft Wordについて= "平和、愛、薬物"ファイル/プロパティ= "私は幸せになります、あなたはちょうど死ぬでしょう"編集/移動… = "Heywood Jablowmi"ツール/ワードカウント= "ボディカウント"フォーマット/フォント… = "カンツ"ファイル/閉じる= "服なし"ウィンドウ/分割= "Blow Me"挿入/画像= "Crusty Porn GIF"ファイル/印刷… = "My Balls Itch"書式/箇条書きと段落番号= "丸薬と針"テーブル/テーブルの挿入… = "挿入とプローブ"ツール/カスタマイズ… = "Sodomize …"ツール/スペルチェックと文法… = "スペルとおばあちゃん…"表示/ツールバー= "ゲイバーズ"ビュー/マスタードキュメント= "マスターベーション"

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Virus
プラットフォーム	MSOffice
説明	技術的な詳細このマクロウイルスは、Word文書とExcelシートという2つのOffice97アプリケーションに感染します。異なるOffice97アプリケーションと互換性を保つために、ウイルスはVisualBasicとの互換性を使用し、WordとExcelの両方で同じコードを使用します。ウイルスは、ファイルが開かれたときにシステム、ドキュメント、およびシートに感染します（WordではAutoOpen、ExcelではAuto_Open）。このウイルスに感染すると、C：SHIVER.SYSファイルを介してエクスポート/インポートOffice97関数が使用されます。コードをそこに書き出し（エクスポートし）、感染しているオブジェクトに読み込み（インポート）ます。 WordとExcelの両方で、ウイルスは標準的な手法を使用して自身を複製します。 Wordファイルに感染すると、ウイルスはそのコードを文書またはグローバルマクロ領域（NORMAL.DOT）にコピーします。 Excelの下では、ウイルスはシートのアクティベーションプロセスをフックし、ハンドラとして感染マクロShiverTimeを設定します。ウイルスはまた、感染したPERSONAL.XLSファイルをExcelの起動ディレクトリに保存し、結果としてシステムのExcel領域に感染します。 1つはWord（AutoExit）を残し、ウイルスはそのコードをWordからExcelに広げようとします。ウイルスはDDE機能を使用します。最小化されたウィンドウでExcelを実行し、Excelの起動ディレクトリに感染したPERSONAL.XLSファイルを作成するために必要なデータとコマンドを渡します。このウイルスは同様の方法でExcelのWordに感染します。最小化されたWordを実行し、Visual Basic Editorを開き、C：SHIVER.SYSファイルからそのコードを読み取ります。このウイルスは感染後にC：SHIVER.SYSファイルを削除せず、メインのウイルスコードが文書およびNORMAL.DOTで削除（駆除）された場合にWordを再感染させます。これを行うために、各Word起動時のウイルスは、Word起動ディレクトリのWORD8.DOTファイルを探します。そのようなファイルがない場合、ウイルスはそのファイルを作成し、そこに短いFileSaveAsマクロを書き込みます。このマクロには、C：SHIVER.SYSから新しい名前で保存されたドキュメントにウイルスコードをインポートするコマンドが含まれています。その結果、すべての文書とNORMAL.DOTが消毒された場合、ウイルスはアクティブな状態を維持します。ウイルスは、WORD8.DOTドロッパーを作成するために、同じエクスポート/インポート方法を使用します。ソースコードバッファにはC：SENTRY.SYSファイルが使用されます。システム内の存在を検出するために、ウイルスはシステムレジストリを使用し、そのID値をキー「HKEY_CURRENT_USERSoftwareVBおよびVBA Program SettingsOffice8.0」に書き込みます。システムにウイルスの有無をマークする2つの値があります。シバ[DDE] = ALT-F11シバ[DDE] = NoNos（システムのランダムカウンタに応じて、このキーは "NoNos（" NoNos）にリセットされ、WordおよびExcelスタートアップディレクトリの感染したWORD8.DOTおよびPERSONAL.XLSが感染ルーチンによって強制的に更新されます。ウイルス内部 1つの「Module1」に18個のマクロが含まれています。 AutoExec – Wordの自動機能、Wordの再感染ルーチンを含むAutoOpen – Wordの自動機能、Word文書の感染ルーチンを含むWordStealth – ステルスマクロを追加するToolsMacro、FileTemplates、ViewVBCodeWordのグローバルマクロ（NORMAL.DOT）AutoExit – Wordの自動機能がExcelに感染するFindExcel – Excel検索ルーチンPersonalFun – Excelの感染に使用CheckMarker – "ここにいるの？"関数は、レジストリをチェックしますMakeMarker – ウイルスIDをレジストリに書き込むPXL_Done – Excelの感染に使用されるAuto_Open – Excelの自動機能、シートのアクティブ化ルーチンのフックShiverTime – 活性化フカと感染器シートwdTrigger – ワードトリガールーチンxlTrigger – ExcelトリガルーチンAuto_Close – Excelの自動機能がウイルスをWordに広げる遅延 – Wordの感染に使用されますwdReEvalInfection – Excelのstartup-dirに感染したPERSONAL.XLSを探します。xlReEvalInfection – Wordのstartup-dirに感染したWORD8.DOTを探します。DDE_Info – 何もしないマクロ。「著作権」を含みます：ALT-F11の助けを借りて[DDE]をシバにするこれは、The Alternative Virus Mafia（AVM）によって最初に作られたウイルスです。ALT-F4 – 「私は死にかけて生まれました」ALT-F11 – 「思考のない行動」トリガールーチンウイルスにはステルス能力があります。 Excelの下で、メニュー項目[ウィンドウ/再表示解除…]および[ツール/マクロ]を無効にします。 Wordでは、モジュール "ThisDocument"のNORMAL.DOT：ToolsMacro、FileTemplates、ViewVBCodeにステルスマクロも作成されます。その結果、ウイルスはそのコードを隠します。ウイルスはOffice97ウイルスの保護も無効にします。システムのランダムカウンタに応じて、ウイルスは次のようなエフェクトを実行します。 Excelでは、ランダムに選択したセルにコメントを挿入します。シェア[DDE] by ALT-F11 WordではC：SISTER.DLLファイルを作成し、そこにテキストを書き込み、それを表示するためにWRITEを実行します。ちょっと男、私はあなたの姉妹のようにちょっと男、私はそれがクールだと思うヘイ・マン、アイ・キンダ・ロス・マイ・マインドすべてのシングルタイム私はあなたの姉妹を見つけるプールで日焼けしたちょっと男、私は彼女の裸を見たいねえ、私はいつも彼女の部屋です誰もいなくても一人一人彼女の下着を通って行くこんにちは、私は彼女をすぐに見なければなりませんねえ、私は決して彼女の妊娠を取得しませんしかし、ヘイ・マン、どうやって彼女に抵抗できますか？私は彼女のウェディングバンドを与える日あなたは私の最高の男になるつもりですか？ちょっと男、私はあなたの姉妹のように私はあなたの姉妹のように私はあなたの姉妹のように私は彼女のようなKinda Wordでは、メニュー項目の名前を変更します。ツール/マクロ= "Shiver [DDE] by ALT-F11"ファイル/バージョン… = "カムステンドシート…"特別な編集/貼り付け= "ねえ、あなたのお母さんは…"Insert / Break … = "MDMAをしたいですか？"ヘルプ/ Microsoft Wordについて= "平和、愛、薬物"ファイル/プロパティ= "私は幸せになります、あなたはちょうど死ぬでしょう"編集/移動… = "Heywood Jablowmi"ツール/ワードカウント= "ボディカウント"フォーマット/フォント… = "カンツ"ファイル/閉じる= "服なし"ウィンドウ/分割= "Blow Me"挿入/画像= "Crusty Porn GIF"ファイル/印刷… = "My Balls Itch"書式/箇条書きと段落番号= "丸薬と針"テーブル/テーブルの挿入… = "挿入とプローブ"ツール/カスタマイズ… = "Sodomize …"ツール/スペルチェックと文法… = "スペルとおばあちゃん…"表示/ツールバー= "ゲイバーズ"ビュー/マスタードキュメント= "マスターベーション"
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Virus.MSOffice.Shiver

技術的な詳細

ウイルス内部

トリガールーチン