Virus.Win32.Initx

技術的な詳細

Initxは無害なプロセスごとに常駐するWin32ウイルスです。ファイル拡張子が.EXEのWindows Portable実行可能ファイル（PE）に感染します。このウイルスは、感染ファイルに格納されている起動ルーチンと、initx.datというダイナミックリンクライブラリ（DLL）ファイルの2つの部分で構成されています。

複製
ウイルスは、WindowsおよびWindowsのシステムディレクトリ内の ".EXE"拡張子を持つ適切なファイル、およびすべてのコンピュータのネットワーク共有を検索し、感染させようとします。いずれにしてもコンピュータ名が「CT」で始まる場合、ウイルスは共有ディレクトリでのみ複製されます。

ウイルスに感染すると、ウイルスは "initx.dat"という名前のコピーをホストのディレクトリに作成します。次に、28バイトの起動ルーチンをホストのコードセクションに追加し、感染ファイルの実行時に "initx.dat"ファイルがライブラリとしてロードされるようにします。起動ルーチンはコードセクションの未使用領域に挿入されるため、ファイルのサイズは変更されません。

感染プロセスは次のようになります。

 感染したディレクトリの犠牲者ディレクトリ ------------------ ----------------  ファイル1のファイル4  ファイル2ファイル5  ... ...  感染したfile.exe host.exe <---が感染しています                                                        スタートアップを書く                                                        ルーチン（28バイト）                                                       コードセクションへ  initx.dat  - > initx.dat <---メインのコピー                                                        ウイルスの一部

ペイロード
ウイルスは "ct"と呼ばれるネットワークホストを見つけてそれに接続しようとします。接続が成功すると、感染したコンピュータの名前がそのホストに送信されます。また、Windowsディレクトリを指す "ADMIN $"という名前の隠しネットワーク共有を作成します。