本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.Win16.RedTeam

クラス Virus
プラットフォーム Win16
説明

技術的な詳細

このウイルスは、Windows EXEファイル(NewExe)に感染し、Eudora電子メールを使用してインターネットに送信します.Windowsに感染し、インターネット経由で感染する最初の既知のウイルスです。ファイルを感染させるために、ウイルスはWindowsのメモリに残り、実行されたNEファイルに感染します。 Eudoraの電子メールに感染するために、ウイルスはメールデータベースの内部フォーマットを解析し、「感染した」メッセージを追加します。このウイルスは、Eudora電子メールシステムがコンピュータにインストールされている場合にのみインターネットに広がる可能性がありますが、感染したメッセージの受信者はEudoraだけでなく標準の電子メールシステムを使用する可能性があります。

もちろん、ウイルスは感染したメッセージから自動的に実行することはできません。感染したメッセージを開いて読み込んだときにシステムに感染することはできません。ウイルスを拡散させるには、感染したEXE添付ファイルを抽出して実行する必要があります。それを正確に行うために(添付ファイルを抽出して実行するために)、メッセージのテキストはユーザーに確信します。

このウイルスは野生では見つからなかったが、リリースされるとグローバルコンピュータネットワークにとって本当の危険に見える可能性がある。普及するには最も人気のあるOS(Windows)と最も普及しているEメールシステム(Eudora )。

ウイルスコードとデータの長さは4766バイトです。このウイルスは、ウイルス本体に存在するテキスト文字列に基づいて名前が付けられました(感染ファイルで暗号化されています)。


<< – 赤チーム – >>(C)ソウルマネージャー。
オーストラリア製 – 06.97。
だから、ハーマー・クルツハルス – F /ウィンはレッドチームに従うことができますか?

感染するEXE

NewEXEファイルに感染すると、ウイルスはそこに新しいセグメントを作成しません。コードセグメントのアドレスを計算し、残りのファイルを移動してその洞窟に書き込みます。ウイルスはコードセグメントのサイズを大きくし、結果として法的プログラムのコードの一部として残る。ウイルスはまた、NEヘッダーと再配置テーブルに必要なフィールドを修正します。このウイルスは、KRNL286 / 386.EXEの場合、エントリポイントの初期アドレスを変更したり、システムルーチンのアドレスを修正したりします。

感染していない環境で感染ファイルが実行されると、ウィルスは制御をとり、Win16カーネルモジュール(KRNL286.EXEまたはKRNL386.EXE)を探します。このファイルが見つかると、ウイルスが開き感染します。このウイルスはエントリポイントのアドレスを変更しません。代わりにWINEXECまたはINITTASKルーチンのアドレスを変更します。 Windows 3.xxの場合、ウイルスはWINEXECルーチンの新しいアドレスを設定します.Windows95 / NTの場合、ウイルスはINITTASKルーチン(Windows95 / NTはWINEXECを呼び出さないため)と同じ処理を行います。

KRNL?86.EXEモジュール(Windows 3.xxまたはWindows95 / NT)を分離するために、ウイルスはCALLPROC32W関数をエクスポートした場合に名前を使用し、32ビットWindows95 / NTでのみ表示されます。

その後、ウイルスは制御をホストプログラムに戻し、他のアクションは実行しません。その結果、ウイルスはシステムメモリにコードを残さず、WindowsのKernel16モジュールだけに感染します。

メモリ常駐

Windowsに感染したKernelがロードされると、ウイルスはKernelの一部としてシステムメモリに残ります。ウイルスのコードは元のKernelのルーチンと同じコードセグメントに置かれるため、特別な処置は必要ありません。このウィルスは、WINEXECまたはINITTASKの感染アドレスが既にウイルスハンドラを指している間に、すでに拘束されているため、システムイベントをフックするアクションも実行しません。

Windows 3.xxでは、ウイルスはWINEXECをフックし、実行されるファイルに感染します。ウイルスはこれを非常に賢明な方法で実行します。すぐに元のWINEXECハンドラに制御を渡し、バックグラウンドでファイルを感染させます。つまり、感染した環境でアプリケーションが実行されると遅延はありません。 Windows 3.xxは古い低速PCにインストールされ、実行の遅延はユーザーに警告する可能性があるため、このウイルスにとっては非常に重要です。

Windows95 / NTでは、このウイルスはINITTASKをフックし、プログラムがシステムに登録されているときに制御を傍受します。その後、GetExePtr関数の助けを借りて、アクティブで感染しているすべてのNEアプリケーションのモジュールハンドルを取得します。

電子メールに感染する

確率1/8(テキスト文字列を暗号化するために使用されるキーに依存)にファイルを感染させている間、このウイルスはそのコードを変更して、感染したEメールメッセージをEudora送信ボックスにドロップするルーチンを起動します。このようなファイルがEudoraデータベースが置かれているディレクトリで実行されると、ウイルスはEudoraデータファイルNNDBASE.TOC、OUT.TOC、OUT.MBXを開きます。最初のファイル( "ニックネームデータベース")は、ウイルスが感染メッセージを送信する受信者の名前を取得するためにウイルスによって使用されます。感染したメッセージはOUT.MBX(送信トレイデータベース)に配置され、必要な参照はOUT.TOCファイルに配置されます。

メッセージ自体には "Red Team"という件名があり、テキストと添付されたEXEファイルが含まれています。テキストは次のようになります。


————————————————– ——————–
ヒヤ!
ちょうど私があなたに破壊的な新しい電子メールウィルスについて警告すると思った。
ここにいくつかの情報があります:
> "Red Team"ウイルスは複雑な新しいコンピュータウイルスで、
> Microsoft Windowsオペレーティングシステム、およびインターネット電子メール。しかし、
>それは電子メールで伝播する最初のウイルスではありませんでした(それは「良い時」でした)
> Red Teamウイルスはその破壊的な能力で並行していません。
>さらに、このウイルスは非常に一般的です。
>西ヨーロッパの多く、米国、ロシア、オーストラリア、および
>日本。要するに、どこでも。
>
> QUESTでは、このウイルスの解析に数週間を費やしており、誇りに思っています
>私たちは最終的に治療法を持っていることをアナウンスする! 「K-RTEAM」という名前のプログラムは、
>(Kill Red Team)は、どのMicrosoft Windows環境でも実行できます。
>は、Red Teamウイルスを確実に検出して(必要であれば削除する)
>あなたのシステムバッファ。
>
> –
>ジュリアブリュミン
> QUALCOMMエンタープライズソフトウェアテクノロジ
>ワールドワイドウェブ:http://www.qualcomm.com
私はあなたに警告すべきだと思った理由は、最近私たちが
この獣と一緒に。幸運なことに、私たちは優れた
破壊が本当に始まる前の 'K-RTEAM'プログラム。念のため
あなたは同じ不幸に苦しむべきです、私はこのプログラムを
君も。
さようなら!
PSこの新しい脅威について、あなたのすべての友人に警告してください!
————————————————– ——————–
ウイルス本体のこのテキストは圧縮されているため、ウイルスはEudora送信ボックスに保存する前に圧縮解除します。添付されたEXEファイルはNEヘッダーを持ち、K-RTEAM.EXE( "Kill Red Team")という名前で、6351バイトの長さです。これは、コンピュータにウイルスを拡散するだけの、感染した何もないプログラム(ウイルスはCドライブ:C:K-RTEAM.EXE上に作成されます)です。このファイルのヘッダーと最後には、次のテキスト文字列があります。

K-RTEAM – Red Team Anti-Virus
K-RTEAM
赤いチームウイルスが見つかりました!
ウイルスを削除しますか?
ウイルスが削除されました!
ウイルスを削除できませんでした!
ウイルスは同じ感染コンピュータから2回はメッセージを送信しません。そのために、ウイルスは感染したメッセージを送信しながらRTBASE.TOCファイルを作成します。次回は、ウイルスがそのファイルを検索し、このファイルがディレクトリに存在する場合は電子メール感染ルーチンを終了します。

ラボ内

ウイルスはWindows 3.xxで自己複製し、ラボでの実験中に副作用が発生しませんでした。すべてのファイルが正しく感染し、プログラムが破損せず、Windowsは警告/エラーメッセージを表示しませんでした。

ウイルスはまた、問題なくEudora送信箱にドロッパーを保存しました。感染したメッセージは、インターネット経由で送信され、正しく受信されました。

Windows95 / NTでは、このウイルスには問題があります。KRNL386.EXEに感染することはできません。その結果、メモリ常駐プログラムをインストールすることはできません。このバグは非常にばかげています。ウイルスは変数「NE Header Offset」に対してWord(DW)を予約しますが、DoubleWord(DD)として使用します。 DoubleWordの2番目の単語はWindows版フラグです:Windows3.xxの場合は0、Windows95 / NTの場合はFFFFhです。 Windows95 / NTでは、ウイルスはその変数から間違った値を取得します。

それにもかかわらず、Windows 3.xxで感染したファイルはWindows95 / NTで問題なく動作し、Windows 3.xxの下でもEudoraデータベースにも感染する可能性があります。さらに、その愚かなバグは簡単に修正され、Windows95互換のバージョンはウイルス作成者によってリリースされる可能性があります。


オリジナルへのリンク