本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
ソリューション:
個人向け製品
小規模企業
中規模企業
大企業
脆弱性 脅威
ホームページ 脅威 Virus Win16

Virus.Win16.Gollum

クラス
Virus
プラットフォーム
Win16

親クラス: VirWare

ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。

クラス: Virus

ウィルスは、ローカルマシンのリソース上で複製します。ワームとは異なり、ウイルスはネットワークサービスを使用して他のコンピュータに伝播したり侵入したりしません。感染したオブジェクトが何らかの理由でウイルス機能に関係なく他のコンピュータで有効になっている場合にのみ、ウイルスのコピーがリモートコンピュータに届きます。たとえば、アクセス可能なディスクに感染すると、ウイルスはネットワークリソースにあるファイルに侵入し、ウイルスは自身をリムーバブルストレージデバイスにコピーしたり、リムーバブルデバイス上のファイルに感染させたりします。ユーザーは感染した添付ファイル付きの電子メールを送信します。

プラットフォーム: Win16

No platform description

説明

技術的な詳細

これは、WindowsおよびWindows95では「常駐」し、ディスクファイルアクセスをフックし、DOS EXEファイルに感染する寄生ウイルスです。これは、WindowsとDOSの2つの異なるプラットフォームに影響を与えるため、多パートウイルスです。このウイルスは、Portable Executable(PE)やNew Executable(NE)のWindows EXEファイルに感染することはありませんが、DOS EXEファイルを傍受して感染させるVxDドライバとしてWindowsにとどまります。したがって、このウイルスはWindowsファイルに感染せず、Windowsメモリに感染し、DOSメモリには感染しませんが、DOS EXEファイルに感染します。

感染したDOS EXEファイルが実行されると、ウイルスはそのVxD(GOLLUM.386ファイル)のみを削除し、Windows SYSTEM.INIファイルに登録し、ホストプログラムに戻り、他の処理は実行しません。 Windowsが起動すると、このウイルスVxDが読み込まれ、ウイルスが制御を引き継ぎ、V86が鎖を割り込んでDOS EXEファイルに感染します。 GOLLUM.386ドロッパーの長さは6592バイトですが、感染するとDOS EXEファイルに7167バイトが追加されます。

感染したDOS EXEファイル

DOS EXEファイルのウイルスは、NOT(XOR 0FFh)命令で暗号化されています。したがって、感染したファイルが実行されると、ウイルスは自身を制御して解読します。解読コマンドのループには愚かなアンチデバッグ手法が含まれており、ウイルスコードを分析する際には注意が必要です。

その後、Windows SYSTEM.INIファイルが検索されます。ウイルスによって使用される5つの名前があります。 

C:WINDOWSSYSTEM.INIC:WINSYSTEM.INIC:WIN31SYSTEM.INIC:WIN311SYSTEM.INIC:WIN95SYSTEM.INI
このようなファイルがない場合、ウイルスはVxDを落とさずにホストプログラムに戻ります。それ以外の場合は、WindowsディレクトリにGOLLUM.386ファイル(ウイルスVxD)を作成し、このVxDをロードするコマンドをSYSTEM.INIファイルに挿入します。 
DEVICE = GOLLUM.386
このコマンドは[386Enh]セクションに挿入されます - ウイルスは文字列 "[386"を検索し、そのコマンドをそこに書き込みます: 
感染前と感染後のSYSTEM.INI... ...[386Enh] [386Enh]マウス= * vmdデバイス= GOLLUM.386...マウス= * vmd...
ウイルスはVxDを2回ドロップしません。SYSTEM.INIファイルの文字列 "GOLLU"をスキャンし、この文字列が見つかると感染ルーチンを終了します。

VxDファイル内のウイルス

ウイルスVxD(GOLLUM.386ファイル)には、LE(Linear Executable)形式があります。このファイルのDOS EXEスタブには、標準テキストビデオモードに切り替えてテキストを表示する短いルーチンが含まれています。 
GoLLum!
このファイルのLE部分には、起動パス(感染ルーチンで使用する)、INT 21h(V86割り込みチェーン)、INT 21hハンドラ、感染ルーチン、ウイルスDOS EXEコードを取得して格納するインストールルーチンが含まれています。 INT 21hウイルスハンドラは、ロードと実行(4B00h)、終了(4C00h)、およびディレクトリの変更(3Bh)という3つのコールを傍受します。

ファイルが実行されると、ウイルスは名前を保存して制御を返します。感染ルーチンはTerminateコールを制御します。最初にウイルスはファイル名をチェックします。これは、C:ドライブ上のファイルのみを感染させ、SCAN *。*、F-PR *。*、TB *。*(SCAN、F-PROT、ThunderByte関連プログラム) 'V'文字または数字が含まれています。このウイルスは、7167バイト未満の長さのファイルにも感染しません。

ウイルスはファイルを開き、ヘッダを読み込んでチェックします。ウイルスはEXEスタンプ(ファイルの先頭のMZ)とNewExeフラグをチェックしますが、失敗し、場合によってはNewExeファイルをDOS EXEとして感染させます。ファイルが破損する可能性があります。重複感染を防ぐため、ウイルスはCRCフィールド(EXEヘッダーのオフセット12h)と52h 43h(ASCII "RC")の2バイトを比較します。

このウイルスは、大部分のDOSウイルスで使用されている標準的な方法でファイルに感染します。コードの一部(DOSおよびVxD部分)をファイルの最後に書き込み、EXEヘッダー(エントリポイントとスタックの初期値、モジュールサイズ、および同定者「RC」)。 VxDを書くときにコード/データアクセス違反を避けるために、ウイルスはVxDウイルスのインストール中に保存されたスタートアップパスのGOLLUM.386からコピーします。

感染ルーチンが完了し、ウイルスはファイルを閉じ、ファイルの属性とファイルの日付と時刻のスタンプを復元します。

トリガルーチン

ウイルスは6月4日にインストールされている間に、テキストを含むシステムメッセージを送信し、Windowsにこのテキストをシステムエラーメッセージとして表示させます。 
Gillyo / 29AによるGoLLuM ViRuSダークウォーターが住んでいた古いゴラム、小さな粘液クリーチャー。私は彼がどこから来たのか、彼が誰だったのか知りません。彼2つの大きな丸い薄い目を除いて、ゴラム - 暗い闇であった彼の薄い顔で。JRR ToLkieN ... HoBBit何かキーを押すと続行します
ディレクトリ(INT 21h Change Directory呼び出し)を選択すると、ウイルスはシステムタイマーを取得し、その値に応じて(確率1/256で)現在のディレクトリにGOLLUM.EXEファイルを作成し、そのVxD GOLLUM.386をそこにコピーします。このEXEファイルがDOSで実行されると、DOSスタブルーチンが表示されます。 
GoLLum!
アンチウイルス整合性チェッカによる検出を避けるために、このウイルスはデータベースを削除します:ANTI-VIR.DAT、CHKLIST.TAV、CHKLIST.MS、AVP.CRC、IVB.NTZ。

ウイルスには、以下の文字列も含まれています。 

GillYo / 29AでMicrosoft Windows用のGoLLuM ViRuSGPTrap_DDB

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか? お知らせください!
新しいカスペルスキー
あなたのデジタルライフを守る
も参照してください
Kaspersky IT Security Calculator
も参照してください
Related articles
24 April 2024
Securelist
Assessing the Y, and How, of the XZ Utils incident
22 April 2024
Kaspersky Daily
メモを安全に管理する:暗号化を実装したメモ帳アプリ | カスペルスキー公式ブログ
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Kaspersky Daily
写真や動画の本物と偽物を見分ける新しい方法 | カスペルスキー公式ブログ
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
この脆弱性についての記述に不正確な点がありますか?
新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
newvirus@kaspersky.com
新しい脅威または脆弱性が見つかりましたか?
新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
newvirus@kaspersky.com
ソリューション
個人向け製品
小規模企業
中規模企業
大企業
Select language
Sorting
脅威
Confirm changes?
Your message has been sent successfully.