Virus.Win32.TeddyBear

技術的な詳細

これはバックドア機能を持つ寄生Windowsウイルスです。感染ファイルが実行されると、ウイルスのインストールルーチンが制御され、WindowsシステムディレクトリにDLLMGR.EXEファイルが作成され、生成されます。 DLLMGR.EXEファイルは純粋なウイルスコードで、Windowsメモリ内に隠れたアプリケーションとして存在し、そのファイル（DLLMGR.EXE）を自動実行セクションのシステムレジストリに登録します（これにより、Windowsがロードされ、これを実行します各起動時にファイル）：

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  Teddybear = "xxxxDLLMGR.EXE"

「xxxx」はWindowsシステムディレクトリの名前です。

ウイルスはWindowsのメモリに残り、 "バックドア"ルーチンが制御を引き継ぎます。このルーチンは、接続を開き、リモートホストからのコマンドを待つか、そこからファイルを取得/送信します。ウイルスは、ホストから送信されたファイル（ウイルスの更新を含む）も実行できます。さらに、DLLMGR.EXEファイルのウイルスコード（感染ファイルによってシステムにドロップされたファイル）には、感染コードはありません。感染ルーチンはホストからダウンロードされ、実行されます。したがって、感染やその他のウイルスルーチンはスタンドアローンの実行可能ファイルであり、ウィルスの作成者が簡単に更新することができます。非常に似た技術がWin95_Babylonia Windowsウイルスで初めて使用されました。

既知のウイルスのバージョンとコンポーネントはWin9xのみと互換性があり、WinNTでは動作しません。彼らはまた、場合によってはウイルスの拡散を止めるバグを持っています。それにもかかわらず、新しいバグのないコンポーネントとNT互換のコンポーネントがウイルス作成者によってリリースされる可能性があります。