Virus.Win16.CyberTech

技術的な詳細

非常に危険な記憶型寄生虫ウイルスです。感染したプログラムが実行されると、Windows KERNELファイルに感染します。感染したKERNELが実行されると、ウイルスはWinExec関数をフックし、実行されるNewEXEファイルの最後に自身を書き込みます。

KERNELに感染させるには、文書化された関数GetModuleHandleを使用してそのファイルにアクセスし、そのコードをKERNELファイル（KRNL286.EXEまたはKRNL386.EXE）に書き込み、そのファイルにシステムデータをパッチします。感染したKERNEL内のWinExecルーチンのアドレスがウイルスコードを指しています。その後、ウイルスはコントロールをホストNewEXEファイルに返します。したがって、感染ファイルが実行されると、ウイルスはKERNELファイルのみに感染します。

感染したKERNELを持つシステムがロードされると、ウイルスはKERNELコードの一部として常駐するメモリに留まり、パッチされたWinExecアドレスはウイルスハンドラにポイントします。 NewEXEファイルが実行されると、ウイルスはそれを感染させます。

ウイルスは、感染したファイルと感染していないファイルを分離します。これは、ファイルを感染させている間に、NewEXEヘッダのチェックサムフィールドにウイルスが書き込むIDラベル "LROY"を使用します。

システムの日付と日付に応じて、ウィルスはタイトルを含むメッセージボックスを表示します：

シカゴ7：サイバー暴動

ハッピーアニバーサリー、ロサンゼルス！

世界のアナキスト、団結しなさい！

堤防が壊れたとき、私は滞在する場所がありません…

（泣いてもあなたを助けません。祈ることはあなたを悪くしません。）

クジラを救い、太った猫を召喚してください。

このウィルスにはテキスト文字列も含まれています：

ユーザーカーネルChicago-7 Cyber​​Riot、15.1.1993 Klash（Werner L.）

Sommer 1993：15 Windowscomputerviren

近日発売予定：国会議事堂。同じ後味 – 少ないバイト数。

ソースコードは$ 15,000,000で利用可能です。深刻な質問のみ。

なぜIBMは私を釈放する必要がありますか？ああ、彼らの損失。

McAfeeのFUD方程式：!!!!!! + ?????? = $$$$$$

豚を告白する

このプログラムは、ハンブルグ、シカゴ、シアトル、

バークレー。 Copyright（C）1993 Klash / Skism / George J / Phalcon / Henry Buscombe

シカゴ7と総称される2つの元々のソフトを含む。