Virus.Win32.Driller

技術的な詳細

これは、プロセスごとのメモリ常駐型寄生ハイポリモーフィックWin32ウイルスです。このウイルスは.EXE、.SCR、および.CPLファイル拡張子を持つPE EXEファイルに感染します。実行すると、このウイルスは現在のWindowsおよびWindowsのシステムディレクトリにあるこれらのファイルに感染します。

このウイルスは、感染したホストプログラムのコンポーネントとしてシステムメモリに残っており、KERNEL機能へのアクセスを取得し、ファイル検索、オープン、コピー、移動機能などを傍受します。これらの機能によってPE EXEファイルにアクセスすると、ウイルスはそれに感染します。その結果、感染したホストプログラムによってアクセスされるすべてのPE EXEプログラムに感染し、ホストプログラムが終了するまでウイルスはアクティブになります。

ファイルを感染させている間、ウイルスはその8Kコードを暗号化し、ファイルの最後に格納します。その後、ウイルスは8Kの被害者ファイルコードを読み取り、暗号化してファイルの最後にも保存します。その "洞穴"は、主なウイルスコードを解読し、そこで制御を渡すウイルス多型コードで満たされます：

ファイル感染

  �=============��==============� 
  �ヘッダー��ヘッダー
  �-------------��--------------�<----プログラム入力アドレス
  �コードセクション�---��多型
  ����ウイルスルーチン�---- mainメインのウイルスコードにジャンプする
  ����--------------� 
  ���� 
  �-------------���--------------�� 
  �データセクション���データセクション� 
  ���� 
  �-------------���--------------�� 
  �etc。 ���etc。 �� 
 L =============  - �L ==============  - 
                     ��暗号化された�<----
                     �ウイルスコード
                     ��-------------- 
                    L->�暗号化された 
                         �ヒストファイルコード 
                        L ==============  -  

ウイルスの多形エンジンにはバグがあり、場合によってはそのコードを復号化できず、アプリケーションのエラーに関するWindowsの標準メッセージが表示されます。

金曜日には、システム日付に応じて、MS Internet ExplorerおよびNetscape NavigatorのStartPageがWebサイトの参照に置き換えられます。

http://www.thehungersite.com

ウイルスには「著作権」テキストが含まれています：

[精神ドリラーによるウイルスTUAREG | 29A]
– このウイルスは、TUAREGエンジンを搭載するように設計されています。