本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.Win32.RemEx

クラス Virus
プラットフォーム Win32
説明

技術的な詳細

このウイルスは、サイズがかなり大きいです – Microsoft Visual C ++で書かれており、約125Kです。オリジナルのウイルスコードは約14K、GZIPルーチン – 20K、Cランタイムライブラリ – 40Kを占めます。他のデータ領域は、ウイルス/ C ++データ、リソースなどによって占有されています。

ウイルスには非常に珍しい構造があります。感染したファイルには、コードとデータセグメントだけでなく、圧縮された実行可能ファイルを含む3つのリソースがあります。最初のリソースには、システムメモリのプロセスにアクセスするためにウイルスによって使用される標準のNT4 PSAPI.DLLが含まれています。

2番目のリソースは、元のウイルスコード自体(リソース内の同じ圧縮PSAPI.DLLを含む)です。このウイルスコードのコピーは、ウイルスをシステムにインストールし、EXEファイルを感染させるための元のデータとして使用されます。

3番目のリソースは、ウイルスがホストプログラムを実行する必要があるときに抽出され、解凍されるホストファイルです。

システムレジストリ:システムにSYSドライバをインストールする際、ウイルスは標準のNT API呼び出しを使用します。これにより、システムがシステムレジストリにウイルスドライバを登録します.HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRemote Explorerが作成されます。

一時ファイル:ファイルの圧縮/解凍中にウイルスに一時的なファイルが必要です。これは、ランダムな名前〜xxxdddd.TMP( 'x'は文字、 'd'は数字)でWindowsの一時ディレクトリに作成されます。

履歴書

このウイルスは最初のネイティブ「メモリ常駐型」のNT感染者なので、スーパーウイルスのように見えるかもしれません。実際、このウイルスは、NT DeviceDevelopmentKitのドキュメントにアクセスした中堅の開発者によって書かれたものです。

このウイルスは、NTイベントをフックせず、ネットワークプロトコルを使用せず、パスワードにアクセスしようとせず、そのコピーをグローバルネットワーク上に拡散しません。さらに、通常のDOS寄生ウイルスは、このウィルスと同じネットワーク拡散能力を持っています。リモート共有ドライブ上のファイルに感染したり、システムメモリに残ったりすることもできます。

これは単なる標準的な寄生虫ウイルスですが、NTサービス感染能力を備えています。すでに知られている他のWindowsウイルスよりも複雑ではなく、よく知られているBOのトロイの木馬(BackOrifice)よりも複雑ではありません。

このウイルスはまったくショックではありません。待望のWindowsNTサービスウイルスです。


オリジナルへのリンク