Virus.Multi.Moridin

技術的な詳細

これは、Win32システムに感染するマルチプラットフォームウイルスです。このウイルスはWin32実行可能ファイル、MS Word文書に感染し、IRCチャネルを介して電子メールを介して広がり、ローカルネットワークに感染します。ウイルスにはバックドア機能もあります。

Win32 EXEヘルパー（追加アプリケーション）、Wordテンプレート、Wordマクロコンポーネントソース、およびいくつかのスクリプトプログラム：VBS、mIRC、PIRCH、vIRCなど、ウィルスのサイズは約70Kです。 。 EXEウイルスルーチンはAssemblerで記述されています。

このウイルスはいくつかの形で見ることができます：

– 感染したPE EXEファイル
– EXEヘルパー
– 感染したWord文書
– VBSスクリプト
– IRC sctiprs

ワームは、ネットワークおよびIRCチャネルを介して電子メールを介して拡散しながら、CRACK.EXE、PACKED.EXE、SETUP.EXE、NETX.EXE、INIT.EXEのようにそのコピーの名前を付けます。

PE EXEウイルスコンポーネント – 感染したPE EXEファイル

PE EXEファイルへの感染

PE EXEファイルに感染すると、ウイルスは最後のファイルセクションのサイズを増やし、多形ルーチンで自身を暗号化し、ここに書き込みます。多型コードは、平均的な複雑さを有する。

感染ファイルが実行されたときに制御を得るために、ウイルスはファイルエントリコードを短い半多形コードでパッチし、感染ファイルが実行されるとすぐに制御を多型復号ループに渡します。

感染ファイルの実行

感染ファイルが実行されると、ウイルス多形コードは制御を取得し、主要なウイルスコードを解読して制御を転送します。その後、ウイルスはWindowsのシステムディレクトリに4つのファイルを作成します。

ADVAPI33.EXE（注：「33」は「32」ではありません）
PACKED.EXE
MMSYSTEM.BIN
COMMDLG.VBS

最初の3つのファイルには同じコードが含まれています – 60Kのヘルパー（下記参照） – PE EXEファイルで、典型的なWindowsアプリケーションとして実行されます。これらのファイルは、他のウイルスコンポーネントがWord文書に感染させるために使用されるほか、IRCチャネルや電子メール（下記参照）を介してウイルスを拡散します。

PACKED.EXEとMMSYSTEM.BINは、他のEXEファイルが感染したのと同じ方法でウイルスに感染します（上記を参照）。その結果、これらのファイルのサイズは最大130K（ヘルパー60Kと完全なウイルスコード70K）に増加し、ヘルパーのコードはここで複製されます（ヘルパーは別のヘルパーが埋め込まれたウィルスに感染しています） ）。

COMMDLG.VBSファイルには、ウイルスをインターネット上に電子メールメッセージで広めるVBScriptが含まれています。

システムレジストリキー

その後、ウイルスはシステムのレジストリキーを変更します。次のキーを作成します。

1. HKEY_CLASSES_ROOTexefileshellopenコマンド
デフォルト= "％SystemDir％MMSYSTEM.BIN"％1％* "

2. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
mmsystem = COMMDLG.VBS

3. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanManASMODEUS $

フラグ= 0x392（914）
Parm1enc = 7cd1 15
Parm2enc = 00
Path = "C："
備考= ""
タイプ= 0

次のキーを削除します。

4. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies
NoDriveAutorun

次のキーを変更します。

5. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
DisablePwdCaching = 0

6. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion WinDrop = "％SystemDir％"

％SystemDir％はWindowsシステムディレクトリの名前です。

"1"を指定すると、各EXEファイルが実行されるときにウイルスヘルパーが実行されます（下記参照）。 "2"は、Windowsの起動時に影響を受ける電子メールを送信するVBSコンポーネントを有効にします。 "3"はウイルスIDスタンプのようです。 "4"はAUTORUN.INFファイルの自動処理を有効にします。 "5"はバックドアコンポーネントがシステムパスワードを取得できるようにします（ウイルスコードにはルーチンが含まれていませんが、ダウンロードしてインストールすることができます。下記参照）。 「6」は、他のウイルスコンポーネントが配置されているディレクトリを特定するためにMS Wordウイルスコンポーネントによって使用される別のウイルスIDスタンプです。

ウイルスがWindowsのシステムディレクトリにインストールされなかった場合、そのファイルはWindowsの一時ディレクトリにドロップされ、 "3"を除いて全く同じキーが作成/削除/変更されます。

感染症など

このウイルスは、現在のディレクトリに5つまでのEXEファイルと5つまでのSRCファイルを感染させます。ウイルスは "GOAT * .EXE"と "GOAT * .SCR"というマスクを使用してファイルを検索するので、ウイルスは "研究"であり、標準名のファイルに感染することはできません。しかし、そのウイルスの "機能"はウイルス作成者によって簡単に修正される可能性があり、ウイルスは任意の名前のPE EXEファイルに感染します。

このウイルスバージョンはGOAT *ファイルのみに感染するという事実にもかかわらず、ファイルにウイルス対策名をチェックし、感染をスキップします。このウイルスは、名前の最初の4文字に従ってウイルス対策プログラムを検出します。

FSAV PAND INOC TBSC NAVS NAVD NAVX ADVA SCAN NOD3 DRWE SPON AMON AVP3 AVPM

ウィルスは、WinZip自己解凍プログラムにも感染しません。

このウイルスは、次のウイルス対策データファイルを削除します。

CHKLIST.MS CHKLIST.DAT CHKLIST.CPS CHKLIST.TAV AGUARD.DAT AVGQT.DAT
ANTI-VIR.DAT SMARTCHK.MS SMARTCHK.CPS IVP.NTZ AVP.CRC

このウイルスコンポーネントには、次のテキストが含まれています。

– Asmodeus iKXによる[W97-2K / Win32.Moridin 1.0]
Tia mi aven Moridin vadin
"墓は私の電話につながっていません"

ウイルスヘルパーの実行

ウイルスヘルパーは、任意のEXEファイルが実行されたときに起動されます（上記の「1」のシステムレジストリキーによって発生します）。ヘルパーは、コマンドラインとして実行されるべきEXEファイル名とコマンドラインを取得します。ヘルパーは、EXEファイル名とコマンドライン引数の両方に注意を払います。

mIRC、PIRCH、またはvIRCクライアントのいずれかが実行されると、そのウイルスが影響を受けます。現在のディレクトリにCRACK.EXEという名前のコピー自体を作成し、感染したCRACK.EXEファイルをユーザーに送信するファイルを作成します。このファイルは、IRCチャネル（vIRCクライアントの場合）に入るか、または「crack」という単語（mIRC、PIRCH）を含むチャネルにテキストを送信します。

ウイルスによって作成されたスクリプトファイル：

MIRC：SCRIPT.INI、SCRIPT.OLD
PIRC：EVENTS.INI
VIRC：DEFAULT.LIB

ユーザーがREGEDIT.EXEまたはウイルス対策プログラムを実行しようとすると、ウイルスはその要求を単に終了します。これらのファイル名の一覧は次のとおりです。

REGP *、AVP3 *、AVPM *、AVPC *、NOD3 *、AMON *、SCAN *、SPID *、DRWE *

CRAC *、PACK *、MMSY *、またはSETU *という名前のファイルのいずれかに対応するファイルが実行されると、ウイルスはファイルを終了し、偽のエラーメッセージを表示します。

WinZip自己解凍プログラム
WinZip Self-Extractorヘッダーが破損しています。
考えられる原因：不良ディスクまたはファイル転送エラー

コマンドラインに.DOCファイルへの参照が含まれている場合、ウイルスはPACKED.EXEファイルをファイルの末尾に追加します。この追加は後で影響を受けるWord文書からウイルスを広めるために使用されます。

ウイルスヘルパーは、MS Word環境に移行するための2つのファイルも削除します。

NORMAL.DOTからMS Wordのテンプレートディレクトリ
WindowsシステムディレクトリにIMPMORI.DRV

NORMAL.DOTテンプレートには、完全なウイルスマクロをIMPMORI.DRVファイルから取得するウイルス「ローダー」が含まれています。

ウイルスヘルパーは、システムレジストリのマクロウイルス保護を無効にし、アンチウィルスメモリ常駐プログラムを探して終了します。

AVPモニター
Amonアンチウイルスモニタ
Norton AntiVirus Auto-Protect試用版
Norton AntiVirus Auto-Protect

HTMLページもウイルスの影響を受けます。現在のディレクトリに.HTMファイルがある場合、ウイルスはここでSETUP.EXEという名前で自身をコピーし、HTMファイルに「ダウンロード」リンクを追加します。このリンクをクリックすると、標準の「ファイルダウンロード」ウィンドウが表示されます。

ランダムカウンタに応じて、ウイルスヘルパーはボリュームラベル "W32Moridin"も現在のドライブに設定します。

ネットワークに感染する

ウィルスヘルパー機能は完全なアクセスのために共有ドライブがある場合、ローカルネットワークを介してウイルスを拡散させるため、終了しません。ウイルスヘルパーはそれらを列挙し、2つの方法でそれらに影響を与えようとします。

1.ここにNETX.EXEという名前で自身をコピーし、NETX.EXEファイルのウイルスコピーをアクティブにするコマンドで、自動実行されるファイルAUTORUN.INFを作成します。

2.ウイルスは、ドライブ上のWindowsディレクトリを探します。 「Windows」のような名前のディレクトリがある場合、ウイルスはINIT.EXEという名前でここに自身をコピーし、そのコピーを自動実行セクションのWIN.INIファイルに登録します。

リモートマシンへの感染

イントラネット感染に加えて、このウイルスはもう1つの方法でリモートマシンに感染しようとします。ウイルスは、下記のインターネットアプリケーションのいずれかが実行されているかどうかを調べます。

GetRightモニター
Microsoft Outlook
ICQMsgAPIウィンドウ
WWWリンク
PIRCH98
ソケットウィンドウ

この場合、ウイルスはホスト（感染コンピュータが接続されているマシン）のIPアドレスを取得し、ホストサブネット（通常はCクラスサブネット）をスキャンしてNetBusバックドアの存在を検出します。 NetBusに感染したマシンがある場合、ウイルスはそのコピーをここに送り、NetBusに強制的に実行させます。

バックドアルーチン

ウィルスヘルパーには独自のバックドアルーチンもあり、コマンドは4つしか実装されていません。

– CDドアを開閉する
– ファイルのダウンロードと作成
– 自身を終了する（バックドアルーチン）
– メッセージを表示すると、メッセージボックスの見出しに次のテキストが表示されます。

Asmodeus iKXによる[W97-2K / Win32.Moridin 1.0]

感染した電子メール

このウイルスは、MS OutlookとPegasusという2つのメールシステムを使用して感染します。最初の方法はVBSウイルスコンポーネントで実現され、2番目の方法はMS Wordウイルスマクロプログラムで実現されます。

MS Outlook

電子メールメッセージを介して広がるために、ウイルスCOMMDLG.VBSファイルは、MS Outlookに接続し、アドレス帳からすべてのアドレスを取得し、そのコピー（PACKED.EXEファイル）をここにメッセージに添付して送信します。メッセージにはランダムに選択されたSubject、Body、Signatureがあります。

件名： "Virus ALERT！"
本文： 「VBSワームが電子メールに広がっているので、自分を守ってください！
FREE-SEX.VBSという添付ファイルは開かないでください。

件名： 「ユートピア/地球2025チュートリアル」
ボディ： 「こんにちは、このゲームをチェックしてください！www.games.esite.com。
チュートリアルのカップルは、メッセージ "

件名： 「これは私の見方です:)」
ボディ： 「ここに私の写真がいくつかありますが、それは好きですか？:)」

シグネチャは、以下のバリアントから選択されます。

よろしく、
敬具、
良い一日を、

コンピュータの所有者名と組織名で記入されます。ウイルスは、これらのデータをシステムレジストリから取得します。

ウイルスのVBSファイルは、Windowsを再起動するたびに実行されます。重複した送信を防ぐために、ウイルスはレジストリキーを作成します。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionIkx
Moridin 1.0

このキーがすでにレジストリに存在する場合は電子メール配布ルーチンを終了します。

ペガサス

感染したMS Word文書のマクロコンポーネントは、システムにインストールされているPegasusメールクライアントを検索します。ウイルスはPegasusデータベースからアドレスを選択し、アクティブな文書をここに送ります。メッセージには次のいずれかのテキストがあります。

これをチェック！

BAAAAAAAM！あなたはちょうど添付ファイルに襲われた、これは添付ファイルの戦争です！誰かを打つ、今！

感染するMSワード

このウイルスは、NORMAL.DOTファイルから実行されるMS Wordに影響します（上記参照）。ショートマクロプログラムは、WindowsシステムディレクトリのIMPMORI.DRVファイルからメインウイルスマクロを取得し、NORMAL.DOTに転送します。

メインのウイルスマクロには、3つのルーチンが含まれています。ペガサスを使用して電子メールでウイルスコピーを送信する（上記を参照）。他のMS Word文書に感染する。ドキュメントからPE EXEコンポーネントを抽出して生成します。

MS Word文書はWordで開いたときに感染します。このウイルスはここでそのコードをコピーし、ADVAPI33.EXEをコマンドラインのドキュメントファイル名で生成し、EXEウイルスコードをドキュメントの末尾に追加します。

Word文書からEXEコードを抽出するために、ウイルスマクロは文書をバイナリファイルとして開き、ファイルの最後に移動し、ウイルスEXEコンポーネントを読み取り、W32MORI.EXEという名前のディスクファイルをWindowsに保存しますこのファイルを実行します。したがって、EXEウイルスコンポーネントは、感染したWord文書から制御を得ます。