本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.MSWord.Outlaw

クラス Virus
プラットフォーム MSWord
説明

技術的な詳細

これらは半多形マクロウイルスです。ファイルを感染させると、ランダムに選択された名前を持つ3つのマクロがコピーされるため、感染ファイルとNORMAL.DOTのマクロ名の固定セットはありません。

この半多形性を実現するために、ウイルスはシステムのランダムカウンタとタイマーを使用します。マクロの新しい名前を選択する際に、ウイルスは現在の時間に応じて名前の最初の文字を設定します:1 – 'A'、2 – 'B'、3 – 'C 'などとし、4つのランダムに選択された数字を追​​加します。その結果、ランダムに選択された名前は、O8493、O7920、O9259、またはM8064、M8908、M8151のようになります。

このウイルスの他のバージョンでは、名前を構築するために他のスキームを使用することがあります。 "Outlaw.Goodbye"は現在の時間に応じてマクロ名を開始しますが、1 – 'AZ'、2 – 'BY' 'CX'など。

ウイルスには自動マクロがなく、制御を得るために、ウイルスはキーストロークでマクロを割り当てます:SPACEキー – グローバルマクロに感染するマクロ、 'E'キー – 現在のドキュメントに感染するマクロ。

コピー中に現在のマクロの名前を取得し、ペイロードマクロを実行するために、ウイルスは2つの方法を使用します。ドキュメントからその名前を取得するために、ウイルスはドキュメント内にVirNameDoc、VirName、VirNamePayloadの3つの変数を作成し、感染中に現在の名前を保存します。必要に応じて、ウイルスはそこからこれらの名前を取得します。

NORMAL.DOT(グローバルマクロ領域)の場合、名前を取得するために、ウイルスは[Intl]セクションのシステムプロファイル(WIN.INIファイル)に現在の名前を含む3つのレコードを作成します。これらの文字列は次のとおりです。


[Intl]
名前=
Name2 =
Name3 =

1月20日にオリジナルの "Outlaw"ウィルスがトリガールーチンを実行します。 Windows95では、いくつかの他の条件に応じて、ウイルスはサウンドを再生します – LAUGH.WAVファイルを落として再生します(このファイルには笑い声が入っています)。ウイルスはまた、現在の文書に文字列を挿入します:


あなたはに感染しています
無法者
ナイトメアジョーカーからのウイルス
オリジナルの "Outlaw" – "Outlaw.b"ウイルスの暗号化された変種があります。

"Outlaw.Black"には、8文字のランダムな名前を持つ2つのマクロが含まれます(たとえば、DIJRCJCY、DOFYBPIT)。このウイルスはメッセージボックスを表示します:


黒騎士

「Outlaw.Goodbye」は暗号化されており、さらに3つのランダムな名前のマ​​クロには、2つの「ステルス」マクロ – ToolsMacroとExtrasMakroが含まれています。ツール/マクロメニューを選択している間、ウィルスは「ダミー」メニューを表示し、 マグナムウィルスと同じ方法でエラーメッセージを表示します。

10月10日、このウイルスはドロップして "VLAD.Goodbye" DOSウイルスを実行し、新しいテンプレートを作成してそこにテキストを書き込みます。


あなたはMooNRaiDerウイルスに感染しています!
Vladの全メンバーにご挨拶!
私はそれが終わりではないことを願っています!
シーンはこの非常に良いグループなしで退屈するだろう!
ナイトメアジョーカー

このウイルスは、次にSystemProfileセクション(WIN.INIファイル)を作成します。


[Vlad]
さようなら=はい


オリジナルへのリンク