本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。
Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
クラス | Virus |
プラットフォーム | Multi |
説明 |
技術的な詳細これは、Win32システムに感染するマルチプラットフォームウイルスです。このウイルスはWin32実行可能ファイル、MS Word文書に感染し、IRCチャネルを介して電子メールを介して広がり、ローカルネットワークに感染します。ウイルスにはバックドア機能もあります。 Win32 EXEヘルパー(追加アプリケーション)、Wordテンプレート、Wordマクロコンポーネントソース、およびいくつかのスクリプトプログラム:VBS、mIRC、PIRCH、vIRCなど、ウィルスのサイズは約70Kです。 。 EXEウイルスルーチンはAssemblerで記述されています。 このウイルスはいくつかの形で見ることができます:
ワームは、ネットワークおよびIRCチャネルを介して電子メールを介して拡散しながら、CRACK.EXE、PACKED.EXE、SETUP.EXE、NETX.EXE、INIT.EXEのようにそのコピーの名前を付けます。 PE EXEウイルスコンポーネント – 感染したPE EXEファイルPE EXEファイルへの感染PE EXEファイルに感染すると、ウイルスは最後のファイルセクションのサイズを増やし、多形ルーチンで自身を暗号化し、ここに書き込みます。多型コードは、平均的な複雑さを有する。 感染ファイルが実行されたときに制御を得るために、ウイルスはファイルエントリコードを短い半多形コードでパッチし、感染ファイルが実行されるとすぐに制御を多型復号ループに渡します。 感染ファイルの実行感染ファイルが実行されると、ウイルス多形コードは制御を取得し、主要なウイルスコードを解読して制御を転送します。その後、ウイルスはWindowsのシステムディレクトリに4つのファイルを作成します。
最初の3つのファイルには同じコードが含まれています – 60Kのヘルパー(下記参照) – PE EXEファイルで、典型的なWindowsアプリケーションとして実行されます。これらのファイルは、他のウイルスコンポーネントがWord文書に感染させるために使用されるほか、IRCチャネルや電子メール(下記参照)を介してウイルスを拡散します。 PACKED.EXEとMMSYSTEM.BINは、他のEXEファイルが感染したのと同じ方法でウイルスに感染します(上記を参照)。その結果、これらのファイルのサイズは最大130K(ヘルパー60Kと完全なウイルスコード70K)に増加し、ヘルパーのコードはここで複製されます(ヘルパーは別のヘルパーが埋め込まれたウィルスに感染しています) )。 COMMDLG.VBSファイルには、ウイルスをインターネット上に電子メールメッセージで広めるVBScriptが含まれています。 システムレジストリキーその後、ウイルスはシステムのレジストリキーを変更します。次のキーを作成します。 1. HKEY_CLASSES_ROOTexefileshellopenコマンド 2. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 3. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanManASMODEUS $
次のキーを削除します。 4. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies 次のキーを変更します。 5. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork 6. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion WinDrop = "%SystemDir%" %SystemDir%はWindowsシステムディレクトリの名前です。 "1"を指定すると、各EXEファイルが実行されるときにウイルスヘルパーが実行されます(下記参照)。 "2"は、Windowsの起動時に影響を受ける電子メールを送信するVBSコンポーネントを有効にします。 "3"はウイルスIDスタンプのようです。 "4"はAUTORUN.INFファイルの自動処理を有効にします。 "5"はバックドアコンポーネントがシステムパスワードを取得できるようにします(ウイルスコードにはルーチンが含まれていませんが、ダウンロードしてインストールすることができます。下記参照)。 「6」は、他のウイルスコンポーネントが配置されているディレクトリを特定するためにMS Wordウイルスコンポーネントによって使用される別のウイルスIDスタンプです。 ウイルスがWindowsのシステムディレクトリにインストールされなかった場合、そのファイルはWindowsの一時ディレクトリにドロップされ、 "3"を除いて全く同じキーが作成/削除/変更されます。 感染症などこのウイルスは、現在のディレクトリに5つまでのEXEファイルと5つまでのSRCファイルを感染させます。ウイルスは "GOAT * .EXE"と "GOAT * .SCR"というマスクを使用してファイルを検索するので、ウイルスは "研究"であり、標準名のファイルに感染することはできません。しかし、そのウイルスの "機能"はウイルス作成者によって簡単に修正される可能性があり、ウイルスは任意の名前のPE EXEファイルに感染します。 このウイルスバージョンはGOAT *ファイルのみに感染するという事実にもかかわらず、ファイルにウイルス対策名をチェックし、感染をスキップします。このウイルスは、名前の最初の4文字に従ってウイルス対策プログラムを検出します。
ウィルスは、WinZip自己解凍プログラムにも感染しません。 このウイルスは、次のウイルス対策データファイルを削除します。
このウイルスコンポーネントには、次のテキストが含まれています。
ウイルスヘルパーの実行ウイルスヘルパーは、任意のEXEファイルが実行されたときに起動されます(上記の「1」のシステムレジストリキーによって発生します)。ヘルパーは、コマンドラインとして実行されるべきEXEファイル名とコマンドラインを取得します。ヘルパーは、EXEファイル名とコマンドライン引数の両方に注意を払います。 mIRC、PIRCH、またはvIRCクライアントのいずれかが実行されると、そのウイルスが影響を受けます。現在のディレクトリにCRACK.EXEという名前のコピー自体を作成し、感染したCRACK.EXEファイルをユーザーに送信するファイルを作成します。このファイルは、IRCチャネル(vIRCクライアントの場合)に入るか、または「crack」という単語(mIRC、PIRCH)を含むチャネルにテキストを送信します。 ウイルスによって作成されたスクリプトファイル:
ユーザーがREGEDIT.EXEまたはウイルス対策プログラムを実行しようとすると、ウイルスはその要求を単に終了します。これらのファイル名の一覧は次のとおりです。
CRAC *、PACK *、MMSY *、またはSETU *という名前のファイルのいずれかに対応するファイルが実行されると、ウイルスはファイルを終了し、偽のエラーメッセージを表示します。
コマンドラインに.DOCファイルへの参照が含まれている場合、ウイルスはPACKED.EXEファイルをファイルの末尾に追加します。この追加は後で影響を受けるWord文書からウイルスを広めるために使用されます。 ウイルスヘルパーは、MS Word環境に移行するための2つのファイルも削除します。
NORMAL.DOTテンプレートには、完全なウイルスマクロをIMPMORI.DRVファイルから取得するウイルス「ローダー」が含まれています。 ウイルスヘルパーは、システムレジストリのマクロウイルス保護を無効にし、アンチウィルスメモリ常駐プログラムを探して終了します。
HTMLページもウイルスの影響を受けます。現在のディレクトリに.HTMファイルがある場合、ウイルスはここでSETUP.EXEという名前で自身をコピーし、HTMファイルに「ダウンロード」リンクを追加します。このリンクをクリックすると、標準の「ファイルダウンロード」ウィンドウが表示されます。 ランダムカウンタに応じて、ウイルスヘルパーはボリュームラベル "W32Moridin"も現在のドライブに設定します。 ネットワークに感染するウィルスヘルパー機能は完全なアクセスのために共有ドライブがある場合、ローカルネットワークを介してウイルスを拡散させるため、終了しません。ウイルスヘルパーはそれらを列挙し、2つの方法でそれらに影響を与えようとします。 1.ここにNETX.EXEという名前で自身をコピーし、NETX.EXEファイルのウイルスコピーをアクティブにするコマンドで、自動実行されるファイルAUTORUN.INFを作成します。 2.ウイルスは、ドライブ上のWindowsディレクトリを探します。 「Windows」のような名前のディレクトリがある場合、ウイルスはINIT.EXEという名前でここに自身をコピーし、そのコピーを自動実行セクションのWIN.INIファイルに登録します。 リモートマシンへの感染イントラネット感染に加えて、このウイルスはもう1つの方法でリモートマシンに感染しようとします。ウイルスは、下記のインターネットアプリケーションのいずれかが実行されているかどうかを調べます。
この場合、ウイルスはホスト(感染コンピュータが接続されているマシン)のIPアドレスを取得し、ホストサブネット(通常はCクラスサブネット)をスキャンしてNetBusバックドアの存在を検出します。 NetBusに感染したマシンがある場合、ウイルスはそのコピーをここに送り、NetBusに強制的に実行させます。 バックドアルーチンウィルスヘルパーには独自のバックドアルーチンもあり、コマンドは4つしか実装されていません。
感染した電子メールこのウイルスは、MS OutlookとPegasusという2つのメールシステムを使用して感染します。最初の方法はVBSウイルスコンポーネントで実現され、2番目の方法はMS Wordウイルスマクロプログラムで実現されます。 MS Outlook電子メールメッセージを介して広がるために、ウイルスCOMMDLG.VBSファイルは、MS Outlookに接続し、アドレス帳からすべてのアドレスを取得し、そのコピー(PACKED.EXEファイル)をここにメッセージに添付して送信します。メッセージにはランダムに選択されたSubject、Body、Signatureがあります。
シグネチャは、以下のバリアントから選択されます。
コンピュータの所有者名と組織名で記入されます。ウイルスは、これらのデータをシステムレジストリから取得します。 ウイルスのVBSファイルは、Windowsを再起動するたびに実行されます。重複した送信を防ぐために、ウイルスはレジストリキーを作成します。
このキーがすでにレジストリに存在する場合は電子メール配布ルーチンを終了します。 ペガサス感染したMS Word文書のマクロコンポーネントは、システムにインストールされているPegasusメールクライアントを検索します。ウイルスはPegasusデータベースからアドレスを選択し、アクティブな文書をここに送ります。メッセージには次のいずれかのテキストがあります。
感染するMSワードこのウイルスは、NORMAL.DOTファイルから実行されるMS Wordに影響します(上記参照)。ショートマクロプログラムは、WindowsシステムディレクトリのIMPMORI.DRVファイルからメインウイルスマクロを取得し、NORMAL.DOTに転送します。 メインのウイルスマクロには、3つのルーチンが含まれています。ペガサスを使用して電子メールでウイルスコピーを送信する(上記を参照)。他のMS Word文書に感染する。ドキュメントからPE EXEコンポーネントを抽出して生成します。 MS Word文書はWordで開いたときに感染します。このウイルスはここでそのコードをコピーし、ADVAPI33.EXEをコマンドラインのドキュメントファイル名で生成し、EXEウイルスコードをドキュメントの末尾に追加します。 Word文書からEXEコードを抽出するために、ウイルスマクロは文書をバイナリファイルとして開き、ファイルの最後に移動し、ウイルスEXEコンポーネントを読み取り、W32MORI.EXEという名前のディスクファイルをWindowsに保存しますこのファイルを実行します。したがって、EXEウイルスコンポーネントは、感染したWord文書から制御を得ます。 |
オリジナルへのリンク |
|
お住まいの地域に広がる脅威の統計をご覧ください |