親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Virus
ウィルスは、ローカルマシンのリソース上で複製します。ワームとは異なり、ウイルスはネットワークサービスを使用して他のコンピュータに伝播したり侵入したりしません。感染したオブジェクトが何らかの理由でウイルス機能に関係なく他のコンピュータで有効になっている場合にのみ、ウイルスのコピーがリモートコンピュータに届きます。たとえば、アクセス可能なディスクに感染すると、ウイルスはネットワークリソースにあるファイルに侵入し、ウイルスは自身をリムーバブルストレージデバイスにコピーしたり、リムーバブルデバイス上のファイルに感染させたりします。ユーザーは感染した添付ファイル付きの電子メールを送信します。プラットフォーム: Multi
No platform description説明
技術的な詳細
これは、Win32システムに感染するマルチプラットフォームウイルスです。このウイルスはWin32実行可能ファイル、MS Word文書に感染し、IRCチャネルを介して電子メールを介して広がり、ローカルネットワークに感染します。ウイルスにはバックドア機能もあります。
Win32 EXEヘルパー(追加アプリケーション)、Wordテンプレート、Wordマクロコンポーネントソース、およびいくつかのスクリプトプログラム:VBS、mIRC、PIRCH、vIRCなど、ウィルスのサイズは約70Kです。 。 EXEウイルスルーチンはAssemblerで記述されています。
このウイルスはいくつかの形で見ることができます:
- 感染したPE EXEファイル
- EXEヘルパー
- 感染したWord文書
- VBSスクリプト
- IRC sctiprs
ワームは、ネットワークおよびIRCチャネルを介して電子メールを介して拡散しながら、CRACK.EXE、PACKED.EXE、SETUP.EXE、NETX.EXE、INIT.EXEのようにそのコピーの名前を付けます。
PE EXEウイルスコンポーネント - 感染したPE EXEファイル
PE EXEファイルへの感染
PE EXEファイルに感染すると、ウイルスは最後のファイルセクションのサイズを増やし、多形ルーチンで自身を暗号化し、ここに書き込みます。多型コードは、平均的な複雑さを有する。
感染ファイルが実行されたときに制御を得るために、ウイルスはファイルエントリコードを短い半多形コードでパッチし、感染ファイルが実行されるとすぐに制御を多型復号ループに渡します。
感染ファイルの実行
感染ファイルが実行されると、ウイルス多形コードは制御を取得し、主要なウイルスコードを解読して制御を転送します。その後、ウイルスはWindowsのシステムディレクトリに4つのファイルを作成します。
ADVAPI33.EXE(注:「33」は「32」ではありません)
PACKED.EXE
MMSYSTEM.BIN
COMMDLG.VBS
最初の3つのファイルには同じコードが含まれています - 60Kのヘルパー(下記参照) - PE EXEファイルで、典型的なWindowsアプリケーションとして実行されます。これらのファイルは、他のウイルスコンポーネントがWord文書に感染させるために使用されるほか、IRCチャネルや電子メール(下記参照)を介してウイルスを拡散します。
PACKED.EXEとMMSYSTEM.BINは、他のEXEファイルが感染したのと同じ方法でウイルスに感染します(上記を参照)。その結果、これらのファイルのサイズは最大130K(ヘルパー60Kと完全なウイルスコード70K)に増加し、ヘルパーのコードはここで複製されます(ヘルパーは別のヘルパーが埋め込まれたウィルスに感染しています) )。
COMMDLG.VBSファイルには、ウイルスをインターネット上に電子メールメッセージで広めるVBScriptが含まれています。
システムレジストリキー
その後、ウイルスはシステムのレジストリキーを変更します。次のキーを作成します。
1. HKEY_CLASSES_ROOTexefileshellopenコマンド
デフォルト= "%SystemDir%MMSYSTEM.BIN"%1%* "
2. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
mmsystem = COMMDLG.VBS
3. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanManASMODEUS $
フラグ= 0x392(914)
Parm1enc = 7cd1 15
Parm2enc = 00
Path = "C:"
備考= ""
タイプ= 0
次のキーを削除します。
4. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies
NoDriveAutorun
次のキーを変更します。
5. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
DisablePwdCaching = 0
6. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion WinDrop = "%SystemDir%"
%SystemDir%はWindowsシステムディレクトリの名前です。
"1"を指定すると、各EXEファイルが実行されるときにウイルスヘルパーが実行されます(下記参照)。 "2"は、Windowsの起動時に影響を受ける電子メールを送信するVBSコンポーネントを有効にします。 "3"はウイルスIDスタンプのようです。 "4"はAUTORUN.INFファイルの自動処理を有効にします。 "5"はバックドアコンポーネントがシステムパスワードを取得できるようにします(ウイルスコードにはルーチンが含まれていませんが、ダウンロードしてインストールすることができます。下記参照)。 「6」は、他のウイルスコンポーネントが配置されているディレクトリを特定するためにMS Wordウイルスコンポーネントによって使用される別のウイルスIDスタンプです。
ウイルスがWindowsのシステムディレクトリにインストールされなかった場合、そのファイルはWindowsの一時ディレクトリにドロップされ、 "3"を除いて全く同じキーが作成/削除/変更されます。
感染症など
このウイルスは、現在のディレクトリに5つまでのEXEファイルと5つまでのSRCファイルを感染させます。ウイルスは "GOAT * .EXE"と "GOAT * .SCR"というマスクを使用してファイルを検索するので、ウイルスは "研究"であり、標準名のファイルに感染することはできません。しかし、そのウイルスの "機能"はウイルス作成者によって簡単に修正される可能性があり、ウイルスは任意の名前のPE EXEファイルに感染します。
このウイルスバージョンはGOAT *ファイルのみに感染するという事実にもかかわらず、ファイルにウイルス対策名をチェックし、感染をスキップします。このウイルスは、名前の最初の4文字に従ってウイルス対策プログラムを検出します。
FSAV PAND INOC TBSC NAVS NAVD NAVX ADVA SCAN NOD3 DRWE SPON AMON AVP3 AVPM
ウィルスは、WinZip自己解凍プログラムにも感染しません。
このウイルスは、次のウイルス対策データファイルを削除します。
CHKLIST.MS CHKLIST.DAT CHKLIST.CPS CHKLIST.TAV AGUARD.DAT AVGQT.DAT
ANTI-VIR.DAT SMARTCHK.MS SMARTCHK.CPS IVP.NTZ AVP.CRC
このウイルスコンポーネントには、次のテキストが含まれています。
- Asmodeus iKXによる[W97-2K / Win32.Moridin 1.0]
Tia mi aven Moridin vadin
"墓は私の電話につながっていません"
ウイルスヘルパーの実行
ウイルスヘルパーは、任意のEXEファイルが実行されたときに起動されます(上記の「1」のシステムレジストリキーによって発生します)。ヘルパーは、コマンドラインとして実行されるべきEXEファイル名とコマンドラインを取得します。ヘルパーは、EXEファイル名とコマンドライン引数の両方に注意を払います。
mIRC、PIRCH、またはvIRCクライアントのいずれかが実行されると、そのウイルスが影響を受けます。現在のディレクトリにCRACK.EXEという名前のコピー自体を作成し、感染したCRACK.EXEファイルをユーザーに送信するファイルを作成します。このファイルは、IRCチャネル(vIRCクライアントの場合)に入るか、または「crack」という単語(mIRC、PIRCH)を含むチャネルにテキストを送信します。
ウイルスによって作成されたスクリプトファイル:
MIRC:SCRIPT.INI、SCRIPT.OLD
PIRC:EVENTS.INI
VIRC:DEFAULT.LIB
ユーザーがREGEDIT.EXEまたはウイルス対策プログラムを実行しようとすると、ウイルスはその要求を単に終了します。これらのファイル名の一覧は次のとおりです。
REGP *、AVP3 *、AVPM *、AVPC *、NOD3 *、AMON *、SCAN *、SPID *、DRWE *
CRAC *、PACK *、MMSY *、またはSETU *という名前のファイルのいずれかに対応するファイルが実行されると、ウイルスはファイルを終了し、偽のエラーメッセージを表示します。
WinZip自己解凍プログラム
WinZip Self-Extractorヘッダーが破損しています。
考えられる原因:不良ディスクまたはファイル転送エラー
コマンドラインに.DOCファイルへの参照が含まれている場合、ウイルスはPACKED.EXEファイルをファイルの末尾に追加します。この追加は後で影響を受けるWord文書からウイルスを広めるために使用されます。
ウイルスヘルパーは、MS Word環境に移行するための2つのファイルも削除します。
NORMAL.DOTからMS Wordのテンプレートディレクトリ
WindowsシステムディレクトリにIMPMORI.DRV
NORMAL.DOTテンプレートには、完全なウイルスマクロをIMPMORI.DRVファイルから取得するウイルス「ローダー」が含まれています。
ウイルスヘルパーは、システムレジストリのマクロウイルス保護を無効にし、アンチウィルスメモリ常駐プログラムを探して終了します。
AVPモニター
Amonアンチウイルスモニタ
Norton AntiVirus Auto-Protect試用版
Norton AntiVirus Auto-Protect
HTMLページもウイルスの影響を受けます。現在のディレクトリに.HTMファイルがある場合、ウイルスはここでSETUP.EXEという名前で自身をコピーし、HTMファイルに「ダウンロード」リンクを追加します。このリンクをクリックすると、標準の「ファイルダウンロード」ウィンドウが表示されます。
ランダムカウンタに応じて、ウイルスヘルパーはボリュームラベル "W32Moridin"も現在のドライブに設定します。
ネットワークに感染する
ウィルスヘルパー機能は完全なアクセスのために共有ドライブがある場合、ローカルネットワークを介してウイルスを拡散させるため、終了しません。ウイルスヘルパーはそれらを列挙し、2つの方法でそれらに影響を与えようとします。
1.ここにNETX.EXEという名前で自身をコピーし、NETX.EXEファイルのウイルスコピーをアクティブにするコマンドで、自動実行されるファイルAUTORUN.INFを作成します。
2.ウイルスは、ドライブ上のWindowsディレクトリを探します。 「Windows」のような名前のディレクトリがある場合、ウイルスはINIT.EXEという名前でここに自身をコピーし、そのコピーを自動実行セクションのWIN.INIファイルに登録します。
リモートマシンへの感染
イントラネット感染に加えて、このウイルスはもう1つの方法でリモートマシンに感染しようとします。ウイルスは、下記のインターネットアプリケーションのいずれかが実行されているかどうかを調べます。
GetRightモニター
Microsoft Outlook
ICQMsgAPIウィンドウ
WWWリンク
PIRCH98
ソケットウィンドウ
この場合、ウイルスはホスト(感染コンピュータが接続されているマシン)のIPアドレスを取得し、ホストサブネット(通常はCクラスサブネット)をスキャンしてNetBusバックドアの存在を検出します。 NetBusに感染したマシンがある場合、ウイルスはそのコピーをここに送り、NetBusに強制的に実行させます。
バックドアルーチン
ウィルスヘルパーには独自のバックドアルーチンもあり、コマンドは4つしか実装されていません。
- CDドアを開閉する
- ファイルのダウンロードと作成
- 自身を終了する(バックドアルーチン)
- メッセージを表示すると、メッセージボックスの見出しに次のテキストが表示されます。Asmodeus iKXによる[W97-2K / Win32.Moridin 1.0]
感染した電子メール
このウイルスは、MS OutlookとPegasusという2つのメールシステムを使用して感染します。最初の方法はVBSウイルスコンポーネントで実現され、2番目の方法はMS Wordウイルスマクロプログラムで実現されます。
MS Outlook
電子メールメッセージを介して広がるために、ウイルスCOMMDLG.VBSファイルは、MS Outlookに接続し、アドレス帳からすべてのアドレスを取得し、そのコピー(PACKED.EXEファイル)をここにメッセージに添付して送信します。メッセージにはランダムに選択されたSubject、Body、Signatureがあります。
件名: "Virus ALERT!"
本文: 「VBSワームが電子メールに広がっているので、自分を守ってください!
FREE-SEX.VBSという添付ファイルは開かないでください。
件名: 「ユートピア/地球2025チュートリアル」
ボディ: 「こんにちは、このゲームをチェックしてください!www.games.esite.com。
チュートリアルのカップルは、メッセージ "
件名: 「これは私の見方です:)」
ボディ: 「ここに私の写真がいくつかありますが、それは好きですか?:)」
シグネチャは、以下のバリアントから選択されます。
よろしく、
敬具、
良い一日を、
コンピュータの所有者名と組織名で記入されます。ウイルスは、これらのデータをシステムレジストリから取得します。
ウイルスのVBSファイルは、Windowsを再起動するたびに実行されます。重複した送信を防ぐために、ウイルスはレジストリキーを作成します。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionIkx
Moridin 1.0
このキーがすでにレジストリに存在する場合は電子メール配布ルーチンを終了します。
ペガサス
感染したMS Word文書のマクロコンポーネントは、システムにインストールされているPegasusメールクライアントを検索します。ウイルスはPegasusデータベースからアドレスを選択し、アクティブな文書をここに送ります。メッセージには次のいずれかのテキストがあります。
これをチェック!
BAAAAAAAM!あなたはちょうど添付ファイルに襲われた、これは添付ファイルの戦争です!誰かを打つ、今!
感染するMSワード
このウイルスは、NORMAL.DOTファイルから実行されるMS Wordに影響します(上記参照)。ショートマクロプログラムは、WindowsシステムディレクトリのIMPMORI.DRVファイルからメインウイルスマクロを取得し、NORMAL.DOTに転送します。
メインのウイルスマクロには、3つのルーチンが含まれています。ペガサスを使用して電子メールでウイルスコピーを送信する(上記を参照)。他のMS Word文書に感染する。ドキュメントからPE EXEコンポーネントを抽出して生成します。
MS Word文書はWordで開いたときに感染します。このウイルスはここでそのコードをコピーし、ADVAPI33.EXEをコマンドラインのドキュメントファイル名で生成し、EXEウイルスコードをドキュメントの末尾に追加します。
Word文書からEXEコードを抽出するために、ウイルスマクロは文書をバイナリファイルとして開き、ファイルの最後に移動し、ウイルスEXEコンポーネントを読み取り、W32MORI.EXEという名前のディスクファイルをWindowsに保存しますこのファイルを実行します。したがって、EXEウイルスコンポーネントは、感染したWord文書から制御を得ます。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com