Virus.SWScript.LFM

技術的な詳細

ルーマニアカスペルスキー研究所、Costin Raiu氏が作成したテキスト

これは、Macromedia Shockwave（.SWF）ファイルに感染することが知られている最初のウイルスであり、World Wide Web上のさまざまな種類のアニメーションによく使用されます。たとえば、アニメ化された電子カードやe-greetingsなどで使用できます。感染したShockwave .SWFファイルが、NetscapeおよびInternet Explorerブラウザの最新バージョンで配布されているPlayerプラグインに読み込まれている場合、ウイルスは機能しません。感染したアニメーションをスタンドアロンのShockwaveに手動で読み込むと実行され、複製されますほとんどのコンピュータユーザーにウイルスによって引き起こされる危険性を大幅に制限するFlash Playerアプリケーション。現時点では、このウイルスは「野生のもの」と報告されておらず、広まっていくとは考えていません。

技術的な詳細

このウイルスは、Shockwaveアニメーションで利用可能なスクリプト言語を利用して動作します.Shockwaveスクリプトとして保存され、それは92.6バイトの "V.COM"という実行可能ファイルをさらにドロップします。 DOS実行可能ファイルは標準のDEBUGスクリプトを介してディスクにドロップされますが、これはWindows NT、2000およびXPシステムでのみ機能します。ドロッパースクリプトはコマンドラインプリプロセッサを "cmd.exe"として呼び出すためですWin9X / MEインストール。 V.COMプログラムが実行されると、現在のディレクトリ内のすべての* .SWFファイルを検索し、それらが読み取り専用、隠しシステムまたはシステムでないことを確認して書き込み可能にし、感染させようとします。まず、標準の "FWSx99"署名を持っているかどうかをチェックし、そうであれば、ウイルスは最初に "V.COM"実行可能ファイルをディスクにドロップするのに似た新しいShockwaveスクリプト・ドロッパーを作成します。 Shockwaveスクリプトのドロッパーは、動的に割り当てられたメモリに作成され、ターゲットのShockwaveファイルの先頭に書き込まれます。