本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.Win9x.Yobe

クラス Virus
プラットフォーム Win9x
説明

技術的な詳細

これは、危険なメモリ常駐の寄生Windowsウイルスです。 Win95 / 98のみで有効なシステムコールを使用し、NT環境下では広げることができません。ウイルスにはバグがあり、実行するとシステムが停止することがよくあります。それにもかかわらず、ウイルスは非常に普及した方法を持ち、技術的な観点からは十分に面白いです。

このウイルスは、フロッピーディスクの "SETUP.EXE"とC:ドライブのルートの "SETUP .EXE"の2つのファイル(ファイル名と拡張子 ".EXE"の間にスペースが1つあります)でのみ検出されます。

フロッピーディスクでは、ウイルスはそのコピーを隠すためにトリックを使います。最後のディスクセクタに完全なコードを書き込み、このコードを読み込んで実行するためにSETUP.EXEファイルを変更します。

感染したSETUP.EXEファイルは、512バイトのDOS EXEプログラムと同じように見えますが、そうではありません。このファイルを感染させている間、ウイルスはDirIIウイルス方式を使用します。直接ディスクセクタの読み書き呼び出しによって、ウイルスはディスクディレクトリセクタにアクセスし、「最初のファイルクラスタ」フィールドを変更し、ディスクFATテーブルに必要な変更を加えます。その結果、元のSETUP.EXEコードは変更されませんが、ディレクトリは元のファイルクラスタではなくウイルスコードのポイントになります。

感染したフロッピーディスクから感染したSETUP.EXEが実行されると、このDOSコンポーネントが制御を受け、フロッピーディスクの最後のセクタから完全なウイルス本体を読み取り、「C:SETUP .EXE」ファイルを作成しますこれらのデータ(完全なウイルスコード)をそこに格納して実行します。ウイルスのインストールルーチンが制御を受け取り、ウイルスをシステムにインストールし、SETUP.EXEファイルをフロッピードライブに駆除します。

ウイルスはシステムに自身をインストールする際に、システムレジストリに新しいキーを作成して、Windowsを再起動するたびに自身をアクティブにします。

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun 
  YOBE = "" C:SETUP .EXE "YOBE"

その後、ウイルスはWindowsカーネルレベル(Ring0)に切り替え、システムメモリのブロックを割り当て、そこに自身をコピーし、ディスクファイルアクセスWindows機能(IFS API)をフックします。このフックはファイルオープンコールを傍受し、A:ドライブ上のSETUP.EXEファイルを開くとウイルスが感染します。

ウイルスには追加のルーチンがあります。まず、1人が「AVP Monitor」と「Amon Antivirus Monitor」のウィンドウを探して閉じます。もう1つはランダムカウンタに応じて、画面の左側に「YOBE」という単語を含む行を表示します。


オリジナルへのリンク