本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.Multi.Navrhar

クラス Virus
プラットフォーム Multi
説明

技術的な詳細


これは、複数の種類のウイルスで、MS Word文書と
Windows95 VxDドライバ。このウイルスは、感染方法にいくつかのステップを使用します。
感染した文書やVxDから始めて、
元のホストファイルと同じ形式のファイル:Word文書 – > PE EXE
ドロッパー – > VxDドライバー – > Word文書などがあります。


感染ファイルがWordによって開かれると、ウイルスはそのPE部分を
それを実行します。このドロッパーはWindows95 VxDドライバーと
それらに感染する。次回Windowsがドライバを読み込むと、ウイルスは ”
システムコールを呼び出して、開いているドキュメントに感染させます。


+ ——— + + ——— + + ——— + + ——— +
|感染した| – > | PE EXE | – > | + ——— + – > | + ——— + – >
|ドキュメント| |ドロッパー| || VxD | || + ——— + – >
| | | | ||ドライバー| |||書類| – >
| | | | || | ||| |
| | | | || | ||| |
+ ——— + + ——— + + | | + || |
+ ——— + + | |
+ ——— +

「オーバーレイ」感染方法


VxDファイルとWord文書の両方で、ウイルスは非常に巧妙な方法で
そのデータとコードを保存します。どちらのタイプのファイルでも、ウイルスは
実際のドキュメント/ドライバのボディはウイルスローダだけです – 小さなプログラム
メインウィルスコードをロードして実行します。感染したWord文書では、
ローダーはWord Basicで書かれた短いマクロです(他のすべてのWord
マクロウイルス)、VxDでは小さな32ビットプログラムです。


主なウイルスコードは、Word文書とVxDの実際の本体の外に配置されます –
ウイルスに感染すると、このメインコードがウイルスの末尾に追加されます
ホストファイルのデータ/コードと “リンク”するための修正は必要ありません。
オーバーレイデータ/コードのように見えます – このコードはホストファイルにリンクされていません
どのような方法でも構造体を作成することができ、コードからのこのオーバーレイへの参照はありません
メインファイル内のデータ(ウイルスローダーを除く)。


感染したWindows95 VxD:感染したWord文書:
+ ———— + + —————— +
|オリジナル| |オリジナル|
| VxDコード| |ドキュメントの|
+ ———— + | data |
|ウイルスローダー| < - 32ビット+ ------------ + + ------------ +プログラム|ウイルスローダー| < - マクロプログラム |残りの| + ------------ + < - 法的文書データの終わり | VxDコード| |余分なデータ| < - ウイルスのメインコード/データ |とデータ| | | | | + ------------ + < - ディスクファイルの最後 | | 正当なVxDコードの+ ------------ + < - 末尾 |余分なデータ| < - ウイルスのメインコード/データ | | + ------------ + < - ディスクファイルの最後

WindowsがこのようなVxDを読み込むと、余分なデータ/コードに注意を払わず、
それをメモリにロードしません。 Wordが感染した文書を開くときに
また、これらの余分なデータをメモリにロードせず、さらにこれまでに
これらのデータはドキュメントを閉じるときに使用します。ウイルスがアクセスする唯一の方法
そのようなオーバーレイは、感染したドキュメント/ VxDをディスクファイルとして開き、
オーバーレイし、それを読むと、ウイルスはそれを行います。


異なるオブジェクトに感染すると、ウイルスはその長さを
「オーバーレイ」データの異なる構造のために異なる数。ザ
ドキュメントの長さは17245バイト増加し、VxDドライバはプラス
感染後の最後の12288バイト、ウイルスドロッパーの長さ
RUNME.EXEは16208バイトです。

感染した文書を開く


今日感染症を蔓延させる最も広範な方法は、
感染したプログラムではなく、感染したドキュメントです。したがって、100:1のユーザーは、
感染したVxDではなく、感染した文書を開く(誰か
プログラマーを除いて、VxDを交換していますか?)


感染した文書では、ウイルスマクロローダーの名前はAutoOpenです。これは
自動マクロであり、ドキュメントが自動的にWordで実行されます
開かれた。このマクロは、メモリブロック(HeapAlloc Word関数)を割り当てます。
ホストファイル(ドキュメント)を開き、オーバーレイデータ(主ウイルス
コード)を読み込み、新しく作成したC:RUNME.EXEファイルにドロップします
(CreateFileA、SetFilePointer、ReadFile、WriteFile、CloseHandleによる)
機能)。


その後、ウイルスマクロはC:RUNME.EXEファイルを実行します(Wordの “Shell”
命令)、C:RUNME.EXEウイルスドロッパーが制御を行い、場所を特定し、
Windowsドライバに感染します。

VxDドライバに感染する


まず、RUNME.EXEが実行されると、ウイルスコードは
Windowsのバージョンが3.xx以下の場合、Windowsのバージョンとすぐに終了します。
(私は迷っています、本当に必要なチェックです – RUNME.EXEは32ビットのPEプログラムですが、
古いWindowsでは実行できません)。


その後、ウイルスはWindowsディレクトリを探し、SYSTEMサブディレクトリにジャンプし、
VxDファイルが存在する場合は、それを探して感染させます。


EISA.VXD、FILESEC.VXD、ISAPNP.VXD、LOGGER.VXD、LPT.VXD、LPTENUM.VXD、
MSMOUSE.VXD、MSSP.VXD、NWSERVER.VXD、NWSP.VXD、PARALINK.VXD、PCI.VXD、
SERENUM.VXD、SERIAL.VXD、SPAP.VXD、SPLITTER.VXD、UNIMODEM.VXD、VFD.VXD、
VGATEWAY.VXD、WSIPX.VXD、WSOCK.VXD

ウイルスはVxDファイルに感染している間、内部の解析と改変を行います
構造体は、そのローディングコードをファイルの中央に書き込み、
ファイルの最後までの追加データとしてのメインコード。


Windows VxDドライバには、LE EXE内部ファイル形式(Linear Executable)があります。
この形式は理解するのが非常に複雑です。
DOS EXEファイル形式、Windows NewEXEファイル形式よりも複雑です。それは見える
Portable Executable(PE)形式に似ていますが、絶対に異なります。


ウイルスが行うすべての詳細を記述するのには、多くのページが必要です
VxDに感染する。つまり、LEエントリテーブルとオブジェクトテーブル、ルック
VxDコードセクションのためにそれをパッチします。 LEファイルにはセクション(ページ)があります
構造。コード/日付がセクションをカバーしていない場合、セクションはちょうど埋まっています
その限界までゼロバイトである。ウイルスはその機能を使用し、
セクション内の実際のコードの長さを増やし、そこに追加します
セクションに十分な空き領域がある場合は、ローダーのコード(214バイト)。


重複感染を防ぐため、ウイルスはファイルの日付と時刻のみを使用します
スタンプ – 感染中のファイルの新しい日付と時刻を設定し、チェックします
感染する前にこの日付/時刻は1997年1月4日4:28 amです。もし誰か
感染したVxDファイルのこのスタンプを変更します。ウイルスはそれらを2度感染させます
より多くの時間。


このウイルスは上記以外のVxDファイルを検索しません。
RUNME.EXEドロッパーがアクティブになっているときにも、いつでもアクティブになりません。ウイルスも
VxDを感染させた後にRUNME.EXEを消去しないので、ユーザーは実行できます
彼がこの名前を好きなら、このファイルを手動で作成します。

感染文書
Windows95が感染したVxDをロードしているとき、ウイルスローダーは(
感染したドキュメントのローダ)は、メモリのブロックを割り当て、
ホストファイルの最後に「オーバーレイ」を読み込み、データとして読み込んで実行します
プログラムとして(vivat Windows95カーネル保護!)。ウイルスインストーラ
制御を引き継ぎ、IFS APIをフックして、OpenFile呼び出しを傍受します。


ファイルが開かれると、ファイル名の拡張子と
“.DOC”、ファイルヘッダーを読み取り、OLE2スタンプをチェックしてから解析します
内部OLE2形式は、ドキュメントの最後に新しい名前のマクロを作成します
AutoOpenは、マクロローダーをそこに書き、 “オーバーレイ”として追加します
メインコード。ウイルスはまた、Microsoftの文書をテンプレートに変換します
形式 – 通常のWordマクロウイルスと同じです。


このウイルスは、ファイルの長さが整列していないドキュメントには感染しません
セクタ(文書の感染後は整列していない状態) – この事実はウイルス
感染した文書と感染していない文書を区別するために使用します。ウイルスも同様です
800Kbを超える長さの文書には感染しません – ウイルス感染
ルーチンは、大きな文書の形式を解析することはできません(
ドキュメント追加フィールドが表示されます)。ウイルスは内部をチェックします
文書の中の特定者を特定し、それらに感染させる。
PanEuro Word 6/7。


MS Wordは、文書の最後にウイルスオーバーレイコードを削除する必要があります(ただし、
AutoOpenマクロ)を感染ファイルを保存している間、Wordでの私の実験
7.0それはしました。これにもかかわらず、DOCファイル名拡張子を持つドキュメント
ウイルスに直ちに再感染した。非DOC拡張の場合、
ドキュメントは半感染したままです – ウイルスマクロAutoOpenを持っていますが、
ウイルスの “オーバーレイ”データを持っていません。その結果、ウイルスは広がることができません
そのような文書が開かれたときそれ自体。


ウイルス感染アルゴリズムにはバグがありません。すでにテンプレートの場合
マクロがあると、ウイルスは文書の内部構造を破壊し、これらは
マクロは表示されません。第二に、それはウイルスを除去することは不可能です
Word環境を使用して感染文書からマクロを自動開く
(ツール/マクロ/削除またはオーガナイザ) – Wordはそれを行うことができず、クラッシュする
標準のWindowsエラーメッセージを表示する:


このプログラムは不正な操作を実行しました
そしてシャットダウンされます。

最後の注釈


VxDドライバの感染のため、ウイルスは感染することができません
WindowsNTシステムですが、Windows95ではウイルスを実験しています
問題は発見されませんでした(Wordテンプレートのトラブル
)。ウイルスは何らかの形で現れません。
Windows95で実行してもシステムエラーメッセージは発生しません。


VxD感染ルーチンにはバグがあります(このウイルスは
正しくLEオブジェクトテーブルを解析する)、ウイルスは “非標準”
VxDドライバであるが、ウイルスのリストからのすべてのVxDは「ウイルスと互換性がある」
感染したVxD(今までに2度感染した)をWindows95で実行すると、
問題。ウイルス作成者は、このバグの可能性があります
VxD感染への呼び出しを開くことができますが、Word文書のみが含まれます。


ウイルスにはいくつかのテキスト文字列があり、その一部は
デバッグモードのウイルスのバージョン:


DDB fixuppが見つかりません
このファイルに感染することはできません
無効なvxdファイル
成功裏に感染した
感染ファイル

他の文字列には、使用中のWindows関数の名前が含まれています
VxDドライバに感染する:

KERNEL32.dll CreateFileA ExitProcess GetFileSize GetFileTime
GetProcessHeap GetVersion GetWindowsDirectoryA HeapAlloc ReadFile
SetFilePointer SetFileTime WriteFile lstrcatA lstrcpyA CloseHandle

目に見えるテキスト文字列の残りの部分は、ウイルス作成者のコメントで、英語と
いくつかの破損したハッカーのようなスタイルで:

HZDSウイルス(世界第1直接VxD感染者および第2次Word 6/7感染者)
(c)Navrhar(英語のDESIGNeR)、スロバキア、21-oct-97
Dizウイルスのハザードは、スロバキアのBanska Bystrica市で書かれています。
W L¢0m 0 h HZD $ v¡g¡gZ!
G Z:Vyv0j、、s y&pount; m&ugly&pount; s、MG&pount;○g m 0k。
$ p¢¡l G Z:Æh0 0¢ø¢93(¡w 0 1s、h h0 0
l 0 gs 0 y0 – 0ly)
M y ¢ks g0 s 0 0:HZD $、Vl 0 M(D¢0)
$ p0 s0 y * -Z1(h s VX-¯v)

最後のテキストブロックの翻訳は次のようになります。

HZDSウイルスの挨拶へようこそ!
Greetz:Vyvojar、Ender、Nasty Lamer&Ugly Luser、MGL、
ナイトメアジョーカー、
特別な挨拶:Anarchy.6093の著者(私は1位になりたがっていましたが、名誉
あなたに属します – 残念ながら)
HZDS、V1ado M.(独裁者)
スポンサーによる* -Zine(これまで最高のVX-zine)


オリジナルへのリンク