親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Virus
ウィルスは、ローカルマシンのリソース上で複製します。ワームとは異なり、ウイルスはネットワークサービスを使用して他のコンピュータに伝播したり侵入したりしません。感染したオブジェクトが何らかの理由でウイルス機能に関係なく他のコンピュータで有効になっている場合にのみ、ウイルスのコピーがリモートコンピュータに届きます。たとえば、アクセス可能なディスクに感染すると、ウイルスはネットワークリソースにあるファイルに侵入し、ウイルスは自身をリムーバブルストレージデバイスにコピーしたり、リムーバブルデバイス上のファイルに感染させたりします。ユーザーは感染した添付ファイル付きの電子メールを送信します。プラットフォーム: Multi
No platform description説明
技術的な詳細
これは、複数の種類のウイルスで、MS Word文書とWindows95 VxDドライバ。このウイルスは、感染方法にいくつかのステップを使用します。感染した文書やVxDから始めて、元のホストファイルと同じ形式のファイル:Word文書 - > PE EXEドロッパー - > VxDドライバー - > Word文書などがあります。
感染ファイルがWordによって開かれると、ウイルスはそのPE部分をそれを実行します。このドロッパーはWindows95 VxDドライバーとそれらに感染する。次回Windowsがドライバを読み込むと、ウイルスは "システムコールを呼び出して、開いているドキュメントに感染させます。
+ --------- + + --------- + + --------- + + --------- +|感染した| - > | PE EXE | - > | + --------- + - > | + --------- + - >|ドキュメント| |ドロッパー| || VxD | || + --------- + - >| | | | ||ドライバー| |||書類| - >| | | | || | ||| || | | | || | ||| |+ --------- + + --------- + + | | + || |+ --------- + + | |+ --------- +
「オーバーレイ」感染方法
VxDファイルとWord文書の両方で、ウイルスは非常に巧妙な方法でそのデータとコードを保存します。どちらのタイプのファイルでも、ウイルスは実際のドキュメント/ドライバのボディはウイルスローダだけです - 小さなプログラムメインウィルスコードをロードして実行します。感染したWord文書では、ローダーはWord Basicで書かれた短いマクロです(他のすべてのWordマクロウイルス)、VxDでは小さな32ビットプログラムです。主なウイルスコードは、Word文書とVxDの実際の本体の外に配置されます - ウイルスに感染すると、このメインコードがウイルスの末尾に追加されますホストファイルのデータ/コードと "リンク"するための修正は必要ありません。オーバーレイデータ/コードのように見えます - このコードはホストファイルにリンクされていませんどのような方法でも構造体を作成することができ、コードからのこのオーバーレイへの参照はありませんメインファイル内のデータ(ウイルスローダーを除く)。
感染したWindows95 VxD:感染したWord文書:+ ------------ + + ------------------ +|オリジナル| |オリジナル|| VxDコード| |ドキュメントの|+ ------------ + | data ||ウイルスローダー| < - 32ビット+ ------------ ++ ------------ +プログラム|ウイルスローダー| < - マクロプログラム|残りの| + ------------ + < - 法的文書データの終わり| VxDコード| |余分なデータ| < - ウイルスのメインコード/データ|とデータ| | || | + ------------ + < - ディスクファイルの最後| |正当なVxDコードの+ ------------ + < - 末尾|余分なデータ| < - ウイルスのメインコード/データ| |+ ------------ + < - ディスクファイルの最後WindowsがこのようなVxDを読み込むと、余分なデータ/コードに注意を払わず、それをメモリにロードしません。 Wordが感染した文書を開くときにまた、これらの余分なデータをメモリにロードせず、さらにこれまでにこれらのデータはドキュメントを閉じるときに使用します。ウイルスがアクセスする唯一の方法そのようなオーバーレイは、感染したドキュメント/ VxDをディスクファイルとして開き、オーバーレイし、それを読むと、ウイルスはそれを行います。
異なるオブジェクトに感染すると、ウイルスはその長さを「オーバーレイ」データの異なる構造のために異なる数。ザドキュメントの長さは17245バイト増加し、VxDドライバはプラス感染後の最後の12288バイト、ウイルスドロッパーの長さRUNME.EXEは16208バイトです。
感染した文書を開く
今日感染症を蔓延させる最も広範な方法は、感染したプログラムではなく、感染したドキュメントです。したがって、100:1のユーザーは、感染したVxDではなく、感染した文書を開く(誰かプログラマーを除いて、VxDを交換していますか?)感染した文書では、ウイルスマクロローダーの名前はAutoOpenです。これは自動マクロであり、ドキュメントが自動的にWordで実行されます開かれた。このマクロは、メモリブロック(HeapAlloc Word関数)を割り当てます。ホストファイル(ドキュメント)を開き、オーバーレイデータ(主ウイルスコード)を読み込み、新しく作成したC:RUNME.EXEファイルにドロップします(CreateFileA、SetFilePointer、ReadFile、WriteFile、CloseHandleによる)機能)。
その後、ウイルスマクロはC:RUNME.EXEファイルを実行します(Wordの "Shell"命令)、C:RUNME.EXEウイルスドロッパーが制御を行い、場所を特定し、Windowsドライバに感染します。
VxDドライバに感染する
まず、RUNME.EXEが実行されると、ウイルスコードはWindowsのバージョンが3.xx以下の場合、Windowsのバージョンとすぐに終了します。(私は迷っています、本当に必要なチェックです - RUNME.EXEは32ビットのPEプログラムですが、古いWindowsでは実行できません)。その後、ウイルスはWindowsディレクトリを探し、SYSTEMサブディレクトリにジャンプし、VxDファイルが存在する場合は、それを探して感染させます。
EISA.VXD、FILESEC.VXD、ISAPNP.VXD、LOGGER.VXD、LPT.VXD、LPTENUM.VXD、MSMOUSE.VXD、MSSP.VXD、NWSERVER.VXD、NWSP.VXD、PARALINK.VXD、PCI.VXD、SERENUM.VXD、SERIAL.VXD、SPAP.VXD、SPLITTER.VXD、UNIMODEM.VXD、VFD.VXD、VGATEWAY.VXD、WSIPX.VXD、WSOCK.VXDウイルスはVxDファイルに感染している間、内部の解析と改変を行います構造体は、そのローディングコードをファイルの中央に書き込み、ファイルの最後までの追加データとしてのメインコード。
Windows VxDドライバには、LE EXE内部ファイル形式(Linear Executable)があります。この形式は理解するのが非常に複雑です。DOS EXEファイル形式、Windows NewEXEファイル形式よりも複雑です。それは見えるPortable Executable(PE)形式に似ていますが、絶対に異なります。
ウイルスが行うすべての詳細を記述するのには、多くのページが必要ですVxDに感染する。つまり、LEエントリテーブルとオブジェクトテーブル、ルックVxDコードセクションのためにそれをパッチします。 LEファイルにはセクション(ページ)があります構造。コード/日付がセクションをカバーしていない場合、セクションはちょうど埋まっていますその限界までゼロバイトである。ウイルスはその機能を使用し、セクション内の実際のコードの長さを増やし、そこに追加しますセクションに十分な空き領域がある場合は、ローダーのコード(214バイト)。
重複感染を防ぐため、ウイルスはファイルの日付と時刻のみを使用しますスタンプ - 感染中のファイルの新しい日付と時刻を設定し、チェックします感染する前にこの日付/時刻は1997年1月4日4:28 amです。もし誰か感染したVxDファイルのこのスタンプを変更します。ウイルスはそれらを2度感染させますより多くの時間。
このウイルスは上記以外のVxDファイルを検索しません。RUNME.EXEドロッパーがアクティブになっているときにも、いつでもアクティブになりません。ウイルスもVxDを感染させた後にRUNME.EXEを消去しないので、ユーザーは実行できます彼がこの名前を好きなら、このファイルを手動で作成します。
感染文書Windows95が感染したVxDをロードしているとき、ウイルスローダーは(感染したドキュメントのローダ)は、メモリのブロックを割り当て、ホストファイルの最後に「オーバーレイ」を読み込み、データとして読み込んで実行しますプログラムとして(vivat Windows95カーネル保護!)。ウイルスインストーラ制御を引き継ぎ、IFS APIをフックして、OpenFile呼び出しを傍受します。
ファイルが開かれると、ファイル名の拡張子と".DOC"、ファイルヘッダーを読み取り、OLE2スタンプをチェックしてから解析します内部OLE2形式は、ドキュメントの最後に新しい名前のマクロを作成しますAutoOpenは、マクロローダーをそこに書き、 "オーバーレイ"として追加しますメインコード。ウイルスはまた、Microsoftの文書をテンプレートに変換します形式 - 通常のWordマクロウイルスと同じです。
このウイルスは、ファイルの長さが整列していないドキュメントには感染しませんセクタ(文書の感染後は整列していない状態) - この事実はウイルス感染した文書と感染していない文書を区別するために使用します。ウイルスも同様です800Kbを超える長さの文書には感染しません - ウイルス感染ルーチンは、大きな文書の形式を解析することはできません(ドキュメント追加フィールドが表示されます)。ウイルスは内部をチェックします文書の中の特定者を特定し、それらに感染させる。PanEuro Word 6/7。
MS Wordは、文書の最後にウイルスオーバーレイコードを削除する必要があります(ただし、AutoOpenマクロ)を感染ファイルを保存している間、Wordでの私の実験7.0それはしました。これにもかかわらず、DOCファイル名拡張子を持つドキュメントウイルスに直ちに再感染した。非DOC拡張の場合、ドキュメントは半感染したままです - ウイルスマクロAutoOpenを持っていますが、ウイルスの "オーバーレイ"データを持っていません。その結果、ウイルスは広がることができませんそのような文書が開かれたときそれ自体。
ウイルス感染アルゴリズムにはバグがありません。すでにテンプレートの場合マクロがあると、ウイルスは文書の内部構造を破壊し、これらはマクロは表示されません。第二に、それはウイルスを除去することは不可能ですWord環境を使用して感染文書からマクロを自動開く(ツール/マクロ/削除またはオーガナイザ) - Wordはそれを行うことができず、クラッシュする標準のWindowsエラーメッセージを表示する:
このプログラムは不正な操作を実行しましたそしてシャットダウンされます。
最後の注釈
VxDドライバの感染のため、ウイルスは感染することができませんWindowsNTシステムですが、Windows95ではウイルスを実験しています問題は発見されませんでした(Wordテンプレートのトラブル)。ウイルスは何らかの形で現れません。Windows95で実行してもシステムエラーメッセージは発生しません。VxD感染ルーチンにはバグがあります(このウイルスは正しくLEオブジェクトテーブルを解析する)、ウイルスは "非標準"VxDドライバであるが、ウイルスのリストからのすべてのVxDは「ウイルスと互換性がある」感染したVxD(今までに2度感染した)をWindows95で実行すると、問題。ウイルス作成者は、このバグの可能性がありますVxD感染への呼び出しを開くことができますが、Word文書のみが含まれます。
ウイルスにはいくつかのテキスト文字列があり、その一部はデバッグモードのウイルスのバージョン:
DDB fixuppが見つかりませんこのファイルに感染することはできません無効なvxdファイル成功裏に感染した感染ファイル他の文字列には、使用中のWindows関数の名前が含まれていますVxDドライバに感染する:
KERNEL32.dll CreateFileA ExitProcess GetFileSize GetFileTimeGetProcessHeap GetVersion GetWindowsDirectoryA HeapAlloc ReadFileSetFilePointer SetFileTime WriteFile lstrcatA lstrcpyA CloseHandle目に見えるテキスト文字列の残りの部分は、ウイルス作成者のコメントで、英語といくつかの破損したハッカーのようなスタイルで:
HZDSウイルス(世界第1直接VxD感染者および第2次Word 6/7感染者)(c)Navrhar(英語のDESIGNeR)、スロバキア、21-oct-97Dizウイルスのハザードは、スロバキアのBanska Bystrica市で書かれています。W L¢0m 0 h HZD $ v¡g¡gZ!G Z:Vyv0j、、s y&pount; m&ugly&pount; s、MG&pount;○g m 0k。$ p¢¡l G Z:Æh0 0¢ø¢93(¡w 0 1s、h h0 0l 0 gs 0 y0 - 0ly)M y ¢ks g0 s 0 0:HZD $、Vl 0 M(D¢0)$ p0 s0 y * -Z1(h s VX-¯v)最後のテキストブロックの翻訳は次のようになります。
HZDSウイルスの挨拶へようこそ!Greetz:Vyvojar、Ender、Nasty Lamer&Ugly Luser、MGL、ナイトメアジョーカー、特別な挨拶:Anarchy.6093の著者(私は1位になりたがっていましたが、名誉あなたに属します - 残念ながら)HZDS、V1ado M.(独裁者)スポンサーによる* -Zine(これまで最高のVX-zine)
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com