親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Worm
ワームは、ネットワークリソースを介してコンピュータネットワーク上に広まります。 Net-Wormとは異なり、ユーザーはワームを起動して起動する必要があります。この種のワームは、リモートのコンピュータネットワークを検索し、読み書き可能なディレクトリに自身をコピーします(見つかった場合)。さらに、これらのワームは、内蔵のオペレーティングシステム機能を使用して、アクセス可能なネットワークディレクトリを検索したり、インターネット上のコンピュータをランダムに検索したり、それらに接続したり、これらのコンピュータのディスクに完全にアクセスしようとします。また、このカテゴリには、1つまたは複数の理由で、上記で定義した他のカテゴリ(モバイルデバイス用のワームなど)に適合しないワームも含まれます。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
これは非常に危険なWin32ウイルスワームです。ウイルス自体はWindows PE EXEファイルで、約23Kbの長さ(UPXで圧縮され、約52Kの解凍サイズを持つ)であり、Microsoft Visual C ++で書かれています。ローカルネットワーク経由で広がり、そこにWin32 EXEアプリケーション(PE EXEファイル)を感染させます。感染すると、ウイルスはファイルの終わりまでファイルを移動し、ファイルの先頭に自身を書き込みます。その結果、感染ファイルが開始されると、ウイルスコードが制御されます。
ウィルスはWin9x固有の呼び出しを使用し、Win9xマシンでのみ動作します。ウイルスはネットワークの性質上、NTマシン上のファイルに感染する可能性がありますが、そこでは実行できません。
ウイルスルーチン感染ファイルが実行されると、ウイルスは感染したホストファイルからそのコードを取得し、DDRAW32.DLL名(このファイルは「純粋な」ウイルスコードを持つWin32 PEアプリケーション)でWindowsシステムディレクトリにドロップします。その後、このウイルスはこの「純粋なコード」DLLファイルを生成し、ホストファイルを駆除してそれを生成し、制御をホストプログラムに戻します。
上記のエラーが発生すると、「致命的なエラー」というメッセージが表示されます。
実行すると、DDRAW32.DLLウイルスファイルがメインウイルスルーチンをアクティブにします。四つあります:
1.レジストリルーチン。これは、レジストリの自動実行キーを作成します。HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce =%SystemDir%DDRAW32.DLL
REGEDITアプリケーションを実行すると、このルーチンは一時的にこのキーを削除し、 "ステルス"メカニズムを実現します。
2.ネットワーク感染ルーチン。これは約4分間眠ってから、ネットワークリソース(共有ドライブ)を列挙し、そこでファイルを感染させます。共有ドライブに感染すると、ウイルスはまず書き込みが有効かどうかをチェックします。ドライブがフルアクセスのために共有されている場合、ワームはそのドライブ上でWin32ファイル感染ルーチンを起動します。このルーチンは、ドライブ上のすべてのディレクトリをスキャンし、そこにPE EXEファイルを感染させます。
ドライブが制限されたアクセスのためにマップされている場合、ウイルスは「ゲスト」名と異なるパスワードでログインしようとします。ウイルスは本当のパスワードを推測しようとしているようで、ログインが成功すると感染ルーチンを開始します。
このウイルスはまた、リモートマシンへのアクセスを4つの方法で試みます。このマシンへのアクセスを「そのまま」取得し、隠し管理共有C $、D $、E $を取得しようとします
これはペイロードルーチンです。感染したマシンはまず、システムレジストリに実行時間と日付を格納します(下記参照)。最初の実行からの時間間隔に応じて、次のリストに従ってアクティブなプロセスを終了するペイロードルーチンをアクティブにします。
Msgsrv32、Mprexe、エクスプローラ、Taskmon、Internat、Systray、Mmtask、ddraw32
その後、ウイルスコードから "Win95.CIH"ウイルスをRUN.EXEファイルに抽出して実行します。 "Win95.CIH"破壊ルーチンはすぐに実行されるようにパッチされています。その結果、CIHのFlash BIOSおよびFAT破壊ルーチンが直ちに起動されます。
4.ネットワーキング。このルーチンは、ネットワーク内のすでに感染しているすべてのマシンをリッスンします。同時に、ペイロードルーチンが起動されている場合、ウィルスネットワーキングルーチンは、他のすべての感染マシンに特別な「ペイロード」メッセージを送信します。結果として、感染したマシンがペイロードにアクセスすると、ローカルネットワーク内の他のマシンはすべて「ペイロード」メッセージを受信し、ペイロードを開始します。そのため、ネットワーク内のすべての感染マシンが同時に崩壊します。
ステルス
レジストリのステルスルーチンに加えて、ウイルスはそのDDRAW32.DLLファイルも隠します。これを実行するには、メモリプロセス検索関数をフックし、感染プロセスが検索されている場合には「プロセスなし」というメッセージを返します。
その他
ウイルスは以下のレジストリキーを変更します。
HKLMSystemCurrentControlSetServicesClass
イド
行こうHKLMEnumNetwork
Cnum
イヌム
ウイルスにはテキスト文字列も含まれています。
Bumerang
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com