本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.Win32.Driller

クラス Virus
プラットフォーム Win32
説明

技術的な詳細

これは、プロセスごとのメモリ常駐型寄生ハイポリモーフィックWin32ウイルスです。このウイルスは.EXE、.SCR、および.CPLファイル拡張子を持つPE EXEファイルに感染します。実行すると、このウイルスは現在のWindowsおよびWindowsのシステムディレクトリにあるこれらのファイルに感染します。

このウイルスは、感染したホストプログラムのコンポーネントとしてシステムメモリに残っており、KERNEL機能へのアクセスを取得し、ファイル検索、オープン、コピー、移動機能などを傍受します。これらの機能によってPE EXEファイルにアクセスすると、ウイルスはそれに感染します。その結果、感染したホストプログラムによってアクセスされるすべてのPE EXEプログラムに感染し、ホストプログラムが終了するまでウイルスはアクティブになります。

ファイルを感染させている間、ウイルスはその8Kコードを暗号化し、ファイルの最後に格納します。その後、ウイルスは8Kの被害者ファイルコードを読み取り、暗号化してファイルの最後にも保存します。その "洞穴"は、主なウイルスコードを解読し、そこで制御を渡すウイルス多型コードで満たされます:

ファイル感染

  �=============��==============� 
  �ヘッダー��ヘッダー
  �-------------��--------------�<----プログラム入力アドレス
  �コードセクション�---��多型
  ����ウイルスルーチン�---- mainメインのウイルスコードにジャンプする
  ����--------------� 
  ���� 
  �-------------���--------------�� 
  �データセクション���データセクション� 
  ���� 
  �-------------���--------------�� 
  �etc。 ���etc。 �� 
 L =============  - �L ==============  - 
                     ��暗号化された�<----
                     �ウイルスコード
                     ��-------------- 
                    L->�暗号化された 
                         �ヒストファイルコード 
                        L ==============  -  

ウイルスの多形エンジンにはバグがあり、場合によってはそのコードを復号化できず、アプリケーションのエラーに関するWindowsの標準メッセージが表示されます。

金曜日には、システム日付に応じて、MS Internet ExplorerおよびNetscape NavigatorのStartPageがWebサイトの参照に置き換えられます。

http://www.thehungersite.com

ウイルスには「著作権」テキストが含まれています:

[精神ドリラーによるウイルスTUAREG | 29A]
– このウイルスは、TUAREGエンジンを搭載するように設計されています。


オリジナルへのリンク