本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.Win32.TeddyBear

クラス Virus
プラットフォーム Win32
説明

技術的な詳細

これはバックドア機能を持つ寄生Windowsウイルスです。感染ファイルが実行されると、ウイルスのインストールルーチンが制御され、WindowsシステムディレクトリにDLLMGR.EXEファイルが作成され、生成されます。 DLLMGR.EXEファイルは純粋なウイルスコードで、Windowsメモリ内に隠れたアプリケーションとして存在し、そのファイル(DLLMGR.EXE)を自動実行セクションのシステムレジストリに登録します(これにより、Windowsがロードされ、これを実行します各起動時にファイル):

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  Teddybear = "xxxxDLLMGR.EXE"

「xxxx」はWindowsシステムディレクトリの名前です。

ウイルスはWindowsのメモリに残り、 "バックドア"ルーチンが制御を引き継ぎます。このルーチンは、接続を開き、リモートホストからのコマンドを待つか、そこからファイルを取得/送信します。ウイルスは、ホストから送信されたファイル(ウイルスの更新を含む)も実行できます。さらに、DLLMGR.EXEファイルのウイルスコード(感染ファイルによってシステムにドロップされたファイル)には、感染コードはありません。感染ルーチンはホストからダウンロードされ、実行されます。したがって、感染やその他のウイルスルーチンはスタンドアローンの実行可能ファイルであり、ウィルスの作成者が簡単に更新することができます。非常に似た技術がWin95_Babylonia Windowsウイルスで初めて使用されました。

既知のウイルスのバージョンとコンポーネントはWin9xのみと互換性があり、WinNTでは動作しません。彼らはまた、場合によってはウイルスの拡散を止めるバグを持っています。それにもかかわらず、新しいバグのないコンポーネントとNT互換のコンポーネントがウイルス作成者によってリリースされる可能性があります。


オリジナルへのリンク