Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

このウイルスはWin32（Win95 / 98およびWinNT）で感染し、PE EXEファイル（Portable Executable）に感染します。このウイルスは、Assemblerで書かれたプログラムのサイズがかなり大きい – 約15Kb。これは多型ウイルスです。

このウイルスの最も興味深い機能は、標準の電子メールプロトコル（「Win.RedTeam」、「Macro.Word97.Antimarc」、「 Win.RedTeam」、「Win.RedTeam」）を介して感染したメッセージを送信する他のウイルスも参照して、 Macro.Word.Innuendo " 、 " Macro.Word.ShareFun " ）。

ランダムカウンタに応じて、ウイルスは第2のインターネットアクセスルーチンを呼び出します。今度はウイルスはコピーを広げずに、DialUpデータベースを探してウイルスの著者に送信します。

ウイルスコードには著者の「著作権」が含まれています：



 –  GriYo / 29AでParvo BioCoded  –  Jacky Qwerty / 29AによるWin32 Tech Support

 –  Darkman / 29Aとb0z0 / Ikxのアイデアや戦略のおかげで

 – パルボは研究の趣旨で、配布しない

 –  c1999 29A Labs …私たちは、

多くのウイルスルーチン（感染、多型）には、 "Win95.Marburg"ウィルスと同じ機能があります。ウイルスは最後のファイルセクションの最後に自身を書き込みます。 PEエントリーアドレスを変更するのではなく、元のプログラムのエントリーコードをJMP_Virus命令でパッチするか、最後にコントロールをウィルスコードに渡すジャンクコードのブロックで行います。等

ウイルスが制御を受けると、多形の解読ループと追加のライト解読ルーチンがウイルスコードを復元し、その制御を主なウイルスルーチンに渡します。

ウイルスはCRCメソッドを使用してコードを保護します。 CRCが正しくない場合は、そのコードのCRCを計算して終了します。この機能は、感染ファイルをインターネット経由で送信するため、ウイルスに必要な機能だと思われるため、CRCチェックによって破損したコピーの実行が防止されます。

その後、ウイルスはWindowsカーネルをスキャンし、ファイルアクセス、検索、およびウイルスによって使用されるその他のAPI機能を探します。 API関数を探している間、ウイルスは名前を使用せず、チェックサムを使用します。 Windowsカーネルで必要な文字列を見つけるために、ウイルスはCRCを1つずつ計算し、その結果をウイルスコードで保存された事前計算値のテーブルと比較します。

ウイルスは、ディスク上のファイルを感染させるために、現在のWindowsおよびWindowsのシステムディレクトリでウイルスを探します。ウイルスは、インストールされたインターネットブラウザと電子メールリーダーを含むディレクトリ内のファイルにも影響します。ウイルスは、これらのディレクトリ名をシステムレジストリから取得します。

このウイルスは検出されたすべてのファイルに感染するのではなく、IEXPLORE.EXE、INSTALL.EXE、NETSCAPE.EXE、NOTEPAD.EXE、SETUP.EXE、WINZIP32.EXEなどの特定の名前のファイルのみに感染します。ファイル名を比較するために、ウイルスはAPI関数を探しているときにチェックサムメソッドも使用します。

制御をホストプログラムに戻すために、ウイルスはランダムに選択された名前でそのコピーを作成し、駆除して実行します。その後、ウイルスはホストファイルが終了するのを待っているので、ホストプログラムが終了する瞬間にウイルスコードがメモリに残ります。ウイルスコードは長い間メモリに残っていますが、このウイルスはメモリ常駐ではありません。システムイベントをフックせず、ファイルのオープン/実行を傍受して感染させることもありません。

感染したファイルをインターネットに送信するには、ウイルスは標準のWindows機能を使用してインターネットに接続し、ランダムに選択された電子メールアドレスを取得し、不正なメッセージを送信し、感染したEXEドロッパーにメッセージを添付します。犠牲者の電子メールアドレスを取得するために、ウイルスは複数のニュースグループに行き、ランダムに選択されたメッセージを読み取り、そこでFROM文字列を探します。このIDテキストが見つかると、ウイルスは感染アドレスを使用して感染メッセージを送信します。

感染ファイル名は、MSEFIXI.EXE、LSERIAL.EXE、またはHOTEENS.EXEの3種類から選択できます。メッセージ（ヘッダーも含む）は3つの亜種から選択されます：

メッセージ1 ———————————————— ————-

rcpt：ランダムに選択されたアドレス：ランダムに選択されたアドレス件名：Microsoft Internet ExplorerとOutlook Expressを使用してセキュリティリスクが発生する

新しい危険なウイルスがインターネットに侵入しました。

説明：

電子メールクライアントがファイル名が非常に長い添付ファイルを含む悪意のあるメールやニュースメッセージを受信すると、電子メールがクライアントワークステーション上で自動的に任意のコードを実行し、コンピュータに感染する可能性があります。

マイクロソフトはこの問題を当初から認識しており、ここでは2つの製品が利用されているパッチを示しています。

Windows 95、Windows 98およびWindows NT 4.0のOutlook 98�4.0 Windows 95、Windows 98およびWindows NT 4.0のOutlook Express 4.0,4.01（Service Pack 1を含む4.01を含む）Netscape Mail Clients

溶液：

Windows 95、Windows 98、またはWindows NT 4.0用にこの製品を使用しているお客様は、添付されたパッチを実行するか、

http://www.microsoft.com/outlook/enhancements/outptch2.asp

できるだけ早くコンピュータにパッチを当てて、インターネットへのこの脅威に対処してください。

あなたの時間をありがとう。

マイクロソフトのサポート

メッセージ2 ———————————————— ————-

からのメール：から： rcptに：ランダムに選択されたアドレスに：ランダムに選択されたアドレス件名：新しい、さらに大きなシリアル番号のリストが今すぐ！

こんにちは

登録されていないプログラムのシリアル番号が必要ですか？

あなたはどこでもそれを探したような気がしますか？

Phrozen Crews Oscarの最新バージョンでさえ？

あなたが上記の質問のいくつかに答えて、まだシリアルナンバーを探しているなら、あなたが待っていたプログラムかもしれません。

長年にわたりシリアル番号を収集しており、15,000を超えるシリアル番号を含むシリアル番号コレクションの最初のバージョンをリリースすることを誇りに思っています。

このメッセージには、シリアル番号コレクションの最初のバージョンが添付されています。

あなた、シリアルナンバーコレクター

メッセージ3 ———————————————— ————-

からのメール：から：ランダムに選択されたアドレス：ランダムに選択されたアドレス件名：新しく100％無料のXXXサイト

親愛なる潜在顧客、

私たちは、10.000以上の.JPGと1.000以上の.MPG / .VIV / .AVI / .MOV /などの新しいエロサイトを開設しました。

私たちはあなたに生涯の機会を提供し、あなたの意見と引き換えに新しいサイトに数ヶ月のアクセス権を与えています。

あなたがしなければならないことは、あなたの個人的なユーザーIDを生成する付属の広告を実行することです、あなたは個人的なクレジットカード番号などとして情報を提供する必要はありません。

私たちのサイトが気に入ったら、あなたのすべての友達に私たちについて教えてください。

http://www.hoteens.com/

HoTeens.com

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Virus
プラットフォーム	Win32
説明	技術的な詳細このウイルスはWin32（Win95 / 98およびWinNT）で感染し、PE EXEファイル（Portable Executable）に感染します。このウイルスは、Assemblerで書かれたプログラムのサイズがかなり大きい – 約15Kb。これは多型ウイルスです。このウイルスの最も興味深い機能は、標準の電子メールプロトコル（「Win.RedTeam」、「Macro.Word97.Antimarc」、「 Win.RedTeam」、「Win.RedTeam」）を介して感染したメッセージを送信する他のウイルスも参照して、 Macro.Word.Innuendo " 、 " Macro.Word.ShareFun " ）。ランダムカウンタに応じて、ウイルスは第2のインターネットアクセスルーチンを呼び出します。今度はウイルスはコピーを広げずに、DialUpデータベースを探してウイルスの著者に送信します。ウイルスコードには著者の「著作権」が含まれています： – GriYo / 29AでParvo BioCoded – Jacky Qwerty / 29AによるWin32 Tech Support – Darkman / 29Aとb0z0 / Ikxのアイデアや戦略のおかげで – パルボは研究の趣旨で、配布しない – c1999 29A Labs …私たちは、多くのウイルスルーチン（感染、多型）には、 "Win95.Marburg"ウィルスと同じ機能があります。ウイルスは最後のファイルセクションの最後に自身を書き込みます。 PEエントリーアドレスを変更するのではなく、元のプログラムのエントリーコードをJMP_Virus命令でパッチするか、最後にコントロールをウィルスコードに渡すジャンクコードのブロックで行います。等ウイルスが制御を受けると、多形の解読ループと追加のライト解読ルーチンがウイルスコードを復元し、その制御を主なウイルスルーチンに渡します。ウイルスはCRCメソッドを使用してコードを保護します。 CRCが正しくない場合は、そのコードのCRCを計算して終了します。この機能は、感染ファイルをインターネット経由で送信するため、ウイルスに必要な機能だと思われるため、CRCチェックによって破損したコピーの実行が防止されます。その後、ウイルスはWindowsカーネルをスキャンし、ファイルアクセス、検索、およびウイルスによって使用されるその他のAPI機能を探します。 API関数を探している間、ウイルスは名前を使用せず、チェックサムを使用します。 Windowsカーネルで必要な文字列を見つけるために、ウイルスはCRCを1つずつ計算し、その結果をウイルスコードで保存された事前計算値のテーブルと比較します。ウイルスは、ディスク上のファイルを感染させるために、現在のWindowsおよびWindowsのシステムディレクトリでウイルスを探します。ウイルスは、インストールされたインターネットブラウザと電子メールリーダーを含むディレクトリ内のファイルにも影響します。ウイルスは、これらのディレクトリ名をシステムレジストリから取得します。このウイルスは検出されたすべてのファイルに感染するのではなく、IEXPLORE.EXE、INSTALL.EXE、NETSCAPE.EXE、NOTEPAD.EXE、SETUP.EXE、WINZIP32.EXEなどの特定の名前のファイルのみに感染します。ファイル名を比較するために、ウイルスはAPI関数を探しているときにチェックサムメソッドも使用します。制御をホストプログラムに戻すために、ウイルスはランダムに選択された名前でそのコピーを作成し、駆除して実行します。その後、ウイルスはホストファイルが終了するのを待っているので、ホストプログラムが終了する瞬間にウイルスコードがメモリに残ります。ウイルスコードは長い間メモリに残っていますが、このウイルスはメモリ常駐ではありません。システムイベントをフックせず、ファイルのオープン/実行を傍受して感染させることもありません。感染したファイルをインターネットに送信するには、ウイルスは標準のWindows機能を使用してインターネットに接続し、ランダムに選択された電子メールアドレスを取得し、不正なメッセージを送信し、感染したEXEドロッパーにメッセージを添付します。犠牲者の電子メールアドレスを取得するために、ウイルスは複数のニュースグループに行き、ランダムに選択されたメッセージを読み取り、そこでFROM文字列を探します。このIDテキストが見つかると、ウイルスは感染アドレスを使用して感染メッセージを送信します。感染ファイル名は、MSEFIXI.EXE、LSERIAL.EXE、またはHOTEENS.EXEの3種類から選択できます。メッセージ（ヘッダーも含む）は3つの亜種から選択されます：メッセージ1 ———————————————— ————- rcpt：ランダムに選択されたアドレス：ランダムに選択されたアドレス件名：Microsoft Internet ExplorerとOutlook Expressを使用してセキュリティリスクが発生する新しい危険なウイルスがインターネットに侵入しました。説明：電子メールクライアントがファイル名が非常に長い添付ファイルを含む悪意のあるメールやニュースメッセージを受信すると、電子メールがクライアントワークステーション上で自動的に任意のコードを実行し、コンピュータに感染する可能性があります。マイクロソフトはこの問題を当初から認識しており、ここでは2つの製品が利用されているパッチを示しています。 Windows 95、Windows 98およびWindows NT 4.0のOutlook 98�4.0 Windows 95、Windows 98およびWindows NT 4.0のOutlook Express 4.0,4.01（Service Pack 1を含む4.01を含む）Netscape Mail Clients 溶液： Windows 95、Windows 98、またはWindows NT 4.0用にこの製品を使用しているお客様は、添付されたパッチを実行するか、 http://www.microsoft.com/outlook/enhancements/outptch2.asp できるだけ早くコンピュータにパッチを当てて、インターネットへのこの脅威に対処してください。あなたの時間をありがとう。マイクロソフトのサポートメッセージ2 ———————————————— ————- からのメール：から： rcptに：ランダムに選択されたアドレスに：ランダムに選択されたアドレス件名：新しい、さらに大きなシリアル番号のリストが今すぐ！こんにちは登録されていないプログラムのシリアル番号が必要ですか？あなたはどこでもそれを探したような気がしますか？ Phrozen Crews Oscarの最新バージョンでさえ？あなたが上記の質問のいくつかに答えて、まだシリアルナンバーを探しているなら、あなたが待っていたプログラムかもしれません。長年にわたりシリアル番号を収集しており、15,000を超えるシリアル番号を含むシリアル番号コレクションの最初のバージョンをリリースすることを誇りに思っています。このメッセージには、シリアル番号コレクションの最初のバージョンが添付されています。あなた、シリアルナンバーコレクターメッセージ3 ———————————————— ————- からのメール：から：ランダムに選択されたアドレス：ランダムに選択されたアドレス件名：新しく100％無料のXXXサイト親愛なる潜在顧客、私たちは、10.000以上の.JPGと1.000以上の.MPG / .VIV / .AVI / .MOV /などの新しいエロサイトを開設しました。私たちはあなたに生涯の機会を提供し、あなたの意見と引き換えに新しいサイトに数ヶ月のアクセス権を与えています。あなたがしなければならないことは、あなたの個人的なユーザーIDを生成する付属の広告を実行することです、あなたは個人的なクレジットカード番号などとして情報を提供する必要はありません。私たちのサイトが気に入ったら、あなたのすべての友達に私たちについて教えてください。 http://www.hoteens.com/ HoTeens.com
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Virus.Win32.Parvo

技術的な詳細