本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.Win32.Mental

クラス Virus
プラットフォーム Win32
説明

技術的な詳細

これは、危険なプロセス単位のメモリ常駐型の寄生型および多相Win32ウイルスです。このウイルスは、現在のWindowsおよびWindowsシステムディレクトリ内の.EXE、.SCR、および.CPL拡張子を持つPE EXEファイルを検索し、感染させます。ファイルを感染させている間、ウイルスはコードを暗号化して再配置セクション(フィックスアップテーブル – 通常はファイルの最後)に書き込み、暗号化多型ループはコードセクションの中間ファイルに書き込まれます。

その後、ウイルスはインポートテーブルをスキャンし、ファイルアクセス機能(ファイルの作成、オープン、検索、移動、実行など)をフックします。ウイルスのフッカーはファイル名を取得し、感染ルーチンを実行します。その結果、感染したアプリケーションの「ライフタイム」中に、このウイルスはアクティブになり、PE EXEファイルへのアクセスを傍受し、感染します。

ウイルスの多型ジェネレータは非常に深刻なバグがあり、場合によっては感染したファイルにダメージを与えることがあります。その結果、これらのファイルは機能しません。これらのファイルが実行されると、Windowsはアプリケーションのエラーに関する標準メッセージを表示します。

ウイルスは、AVP.CRC、ANTI-VIR.DAT、CHKLIST.MS、およびIVB.NTZという、次のウイルス対策データファイルを削除します。また、ファイル名に文字 'V'を含むファイルや、名前がTB、SC、F-、PA、DRで始まるファイル(ウイルス対策プログラム)にも感染しません。

このウイルスには、3月、6月、9月、12月の17日に感染する2つの感染ルーチンがあります。第1のルーチンは、スクリーン上の任意の位置に「NAZKA」が配置されたスクリーンを覆う。 2番目のルーチンは、次のメッセージボックスを表示します。

 ウイルスNAZKA
 (c)The Mental Driller / 29AによるウイルスNAZKA

オリジナルへのリンク