Virus.Multi.Navrhar

技術的な詳細

これは、複数の種類のウイルスで、MS Word文書と
Windows95 VxDドライバ。このウイルスは、感染方法にいくつかのステップを使用します。
感染した文書やVxDから始めて、
元のホストファイルと同じ形式のファイル：Word文書 – > PE EXE
ドロッパー – > VxDドライバー – > Word文書などがあります。

感染ファイルがWordによって開かれると、ウイルスはそのPE部分を
それを実行します。このドロッパーはWindows95 VxDドライバーと
それらに感染する。次回Windowsがドライバを読み込むと、ウイルスは ”
システムコールを呼び出して、開いているドキュメントに感染させます。

+ ——— + + ——— + + ——— + + ——— +

|感染した| – > | PE EXE | – > | + ——— + – > | + ——— + – >

|ドキュメント| |ドロッパー| || VxD | || + ——— + – >

| | | | ||ドライバー| |||書類| – >

| | | | || | ||| |

| | | | || | ||| |

+ ——— + + ——— + + | | + || |

+ ——— + + | |

+ ——— +

「オーバーレイ」感染方法

主なウイルスコードは、Word文書とVxDの実際の本体の外に配置されます –
ウイルスに感染すると、このメインコードがウイルスの末尾に追加されます
ホストファイルのデータ/コードと “リンク”するための修正は必要ありません。
オーバーレイデータ/コードのように見えます – このコードはホストファイルにリンクされていません
どのような方法でも構造体を作成することができ、コードからのこのオーバーレイへの参照はありません
メインファイル内のデータ（ウイルスローダーを除く）。

感染したWindows95 VxD：感染したWord文書：

+ ———— + + —————— +

|オリジナル| |オリジナル|

| VxDコード| |ドキュメントの|

+ ———— + | data |

|ウイルスローダー| < - 32ビット+ ------------ +
+ ------------ +プログラム|ウイルスローダー| < - マクロプログラム
|残りの| + ------------ + < - 法的文書データの終わり
| VxDコード| |余分なデータ| < - ウイルスのメインコード/データ
|とデータ| | |
| | + ------------ + < - ディスクファイルの最後
| |
正当なVxDコードの+ ------------ + < - 末尾
|余分なデータ| < - ウイルスのメインコード/データ
| |
+ ------------ + < - ディスクファイルの最後

異なるオブジェクトに感染すると、ウイルスはその長さを
「オーバーレイ」データの異なる構造のために異なる数。ザ
ドキュメントの長さは17245バイト増加し、VxDドライバはプラス
感染後の最後の12288バイト、ウイルスドロッパーの長さ
RUNME.EXEは16208バイトです。

感染した文書を開く

感染した文書では、ウイルスマクロローダーの名前はAutoOpenです。これは
自動マクロであり、ドキュメントが自動的にWordで実行されます
開かれた。このマクロは、メモリブロック（HeapAlloc Word関数）を割り当てます。
ホストファイル（ドキュメント）を開き、オーバーレイデータ（主ウイルス
コード）を読み込み、新しく作成したC：RUNME.EXEファイルにドロップします
（CreateFileA、SetFilePointer、ReadFile、WriteFile、CloseHandleによる）
機能）。

その後、ウイルスマクロはC：RUNME.EXEファイルを実行します（Wordの “Shell”
命令）、C：RUNME.EXEウイルスドロッパーが制御を行い、場所を特定し、
Windowsドライバに感染します。

VxDドライバに感染する

その後、ウイルスはWindowsディレクトリを探し、SYSTEMサブディレクトリにジャンプし、
VxDファイルが存在する場合は、それを探して感染させます。

EISA.VXD、FILESEC.VXD、ISAPNP.VXD、LOGGER.VXD、LPT.VXD、LPTENUM.VXD、

MSMOUSE.VXD、MSSP.VXD、NWSERVER.VXD、NWSP.VXD、PARALINK.VXD、PCI.VXD、

SERENUM.VXD、SERIAL.VXD、SPAP.VXD、SPLITTER.VXD、UNIMODEM.VXD、VFD.VXD、

VGATEWAY.VXD、WSIPX.VXD、WSOCK.VXD

Windows VxDドライバには、LE EXE内部ファイル形式（Linear Executable）があります。
この形式は理解するのが非常に複雑です。
DOS EXEファイル形式、Windows NewEXEファイル形式よりも複雑です。それは見える
Portable Executable（PE）形式に似ていますが、絶対に異なります。

ウイルスが行うすべての詳細を記述するのには、多くのページが必要です
VxDに感染する。つまり、LEエントリテーブルとオブジェクトテーブル、ルック
VxDコードセクションのためにそれをパッチします。 LEファイルにはセクション（ページ）があります
構造。コード/日付がセクションをカバーしていない場合、セクションはちょうど埋まっています
その限界までゼロバイトである。ウイルスはその機能を使用し、
セクション内の実際のコードの長さを増やし、そこに追加します
セクションに十分な空き領域がある場合は、ローダーのコード（214バイト）。

重複感染を防ぐため、ウイルスはファイルの日付と時刻のみを使用します
スタンプ – 感染中のファイルの新しい日付と時刻を設定し、チェックします
感染する前にこの日付/時刻は1997年1月4日4:28 amです。もし誰か
感染したVxDファイルのこのスタンプを変更します。ウイルスはそれらを2度感染させます
より多くの時間。

このウイルスは上記以外のVxDファイルを検索しません。
RUNME.EXEドロッパーがアクティブになっているときにも、いつでもアクティブになりません。ウイルスも
VxDを感染させた後にRUNME.EXEを消去しないので、ユーザーは実行できます
彼がこの名前を好きなら、このファイルを手動で作成します。

感染文書
Windows95が感染したVxDをロードしているとき、ウイルスローダーは（
感染したドキュメントのローダ）は、メモリのブロックを割り当て、
ホストファイルの最後に「オーバーレイ」を読み込み、データとして読み込んで実行します
プログラムとして（vivat Windows95カーネル保護！）。ウイルスインストーラ
制御を引き継ぎ、IFS APIをフックして、OpenFile呼び出しを傍受します。

ファイルが開かれると、ファイル名の拡張子と
“.DOC”、ファイルヘッダーを読み取り、OLE2スタンプをチェックしてから解析します
内部OLE2形式は、ドキュメントの最後に新しい名前のマクロを作成します
AutoOpenは、マクロローダーをそこに書き、 “オーバーレイ”として追加します
メインコード。ウイルスはまた、Microsoftの文書をテンプレートに変換します
形式 – 通常のWordマクロウイルスと同じです。

このウイルスは、ファイルの長さが整列していないドキュメントには感染しません
セクタ（文書の感染後は整列していない状態） – この事実はウイルス
感染した文書と感染していない文書を区別するために使用します。ウイルスも同様です
800Kbを超える長さの文書には感染しません – ウイルス感染
ルーチンは、大きな文書の形式を解析することはできません（
ドキュメント追加フィールドが表示されます）。ウイルスは内部をチェックします
文書の中の特定者を特定し、それらに感染させる。
PanEuro Word 6/7。

MS Wordは、文書の最後にウイルスオーバーレイコードを削除する必要があります（ただし、
AutoOpenマクロ）を感染ファイルを保存している間、Wordでの私の実験
7.0それはしました。これにもかかわらず、DOCファイル名拡張子を持つドキュメント
ウイルスに直ちに再感染した。非DOC拡張の場合、
ドキュメントは半感染したままです – ウイルスマクロAutoOpenを持っていますが、
ウイルスの “オーバーレイ”データを持っていません。その結果、ウイルスは広がることができません
そのような文書が開かれたときそれ自体。

ウイルス感染アルゴリズムにはバグがありません。すでにテンプレートの場合
マクロがあると、ウイルスは文書の内部構造を破壊し、これらは
マクロは表示されません。第二に、それはウイルスを除去することは不可能です
Word環境を使用して感染文書からマクロを自動開く
（ツール/マクロ/削除またはオーガナイザ） – Wordはそれを行うことができず、クラッシュする
標準のWindowsエラーメッセージを表示する：

このプログラムは不正な操作を実行しました

そしてシャットダウンされます。

最後の注釈

VxD感染ルーチンにはバグがあります（このウイルスは
正しくLEオブジェクトテーブルを解析する）、ウイルスは “非標準”
VxDドライバであるが、ウイルスのリストからのすべてのVxDは「ウイルスと互換性がある」
感染したVxD（今までに2度感染した）をWindows95で実行すると、
問題。ウイルス作成者は、このバグの可能性があります
VxD感染への呼び出しを開くことができますが、Word文書のみが含まれます。

ウイルスにはいくつかのテキスト文字列があり、その一部は
デバッグモードのウイルスのバージョン：

DDB fixuppが見つかりません

このファイルに感染することはできません

無効なvxdファイル

成功裏に感染した

感染ファイル

KERNEL32.dll CreateFileA ExitProcess GetFileSize GetFileTime

GetProcessHeap GetVersion GetWindowsDirectoryA HeapAlloc ReadFile

SetFilePointer SetFileTime WriteFile lstrcatA lstrcpyA CloseHandle

HZDSウイルス（世界第1直接VxD感染者および第2次Word 6/7感染者）

（c）Navrhar（英語のDESIGNeR）、スロバキア、21-oct-97

Dizウイルスのハザードは、スロバキアのBanska Bystrica市で書かれています。

W L¢0m 0 h HZD $ v¡g¡gZ！

G Z：Vyv0j、、s y＆pount; m＆ugly＆pount; s、MG＆pount;○g m 0k。

$ p¢¡l G Z：Æh0 0¢ø¢93（¡w 0 1s、h h0 0

l 0 gs 0 y0 – 0ly）

M y ¢ks g0 s 0 0：HZD $、Vl 0 M（D¢0）

$ p0 s0 y * -Z1（h s VX-¯v）

HZDSウイルスの挨拶へようこそ！

Greetz：Vyvojar、Ender、Nasty Lamer＆Ugly Luser、MGL、

ナイトメアジョーカー、

特別な挨拶：Anarchy.6093の著者（私は1位になりたがっていましたが、名誉

あなたに属します – 残念ながら）

HZDS、V1ado M.（独裁者）

スポンサーによる* -Zine（これまで最高のVX-zine）