本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.Win32.Initx

クラス Virus
プラットフォーム Win32
説明

技術的な詳細

Initxは無害なプロセスごとに常駐するWin32ウイルスです。ファイル拡張子が.EXEのWindows Portable実行可能ファイル(PE)に感染します。このウイルスは、感染ファイルに格納されている起動ルーチンと、initx.datというダイナミックリンクライブラリ(DLL)ファイルの2つの部分で構成されています。

複製
ウイルスは、WindowsおよびWindowsのシステムディレクトリ内の ".EXE"拡張子を持つ適切なファイル、およびすべてのコンピュータのネットワーク共有を検索し、感染させようとします。いずれにしてもコンピュータ名が「CT」で始まる場合、ウイルスは共有ディレクトリでのみ複製されます。

ウイルスに感染すると、ウイルスは "initx.dat"という名前のコピーをホストのディレクトリに作成します。次に、28バイトの起動ルーチンをホストのコードセクションに追加し、感染ファイルの実行時に "initx.dat"ファイルがライブラリとしてロードされるようにします。起動ルーチンはコードセクションの未使用領域に挿入されるため、ファイルのサイズは変更されません。

感染プロセスは次のようになります。

 感染したディレクトリの犠牲者ディレクトリ
 ------------------ ----------------
  ファイル1のファイル4
  ファイル2ファイル5
  ... ...
  感染したfile.exe host.exe <---が感染しています 
                                                       スタートアップを書く 
                                                       ルーチン(28バイト)
                                                       コードセクションへ
  initx.dat  - > initx.dat <---メインのコピー 
                                                       ウイルスの一部

ペイロード
ウイルスは "ct"と呼ばれるネットワークホストを見つけてそれに接続しようとします。接続が成功すると、感染したコンピュータの名前がそのホストに送信されます。また、Windowsディレクトリを指す "ADMIN $"という名前の隠しネットワーク共有を作成します。


オリジナルへのリンク