本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Worm.Win32.Bumerang

クラス Worm
プラットフォーム Win32
説明

技術的な詳細

これは非常に危険なWin32ウイルスワームです。ウイルス自体はWindows PE EXEファイルで、約23Kbの長さ(UPXで圧縮され、約52Kの解凍サイズを持つ)であり、Microsoft Visual C ++で書かれています。ローカルネットワーク経由で広がり、そこにWin32 EXEアプリケーション(PE EXEファイル)を感染させます。感染すると、ウイルスはファイルの終わりまでファイルを移動し、ファイルの先頭に自身を書き込みます。その結果、感染ファイルが開始されると、ウイルスコードが制御されます。

ウィルスはWin9x固有の呼び出しを使用し、Win9xマシンでのみ動作します。ウイルスはネットワークの性質上、NTマシン上のファイルに感染する可能性がありますが、そこでは実行できません。

ウイルスルーチン

感染ファイルが実行されると、ウイルスは感染したホストファイルからそのコードを取得し、DDRAW32.DLL名(このファイルは「純粋な」ウイルスコードを持つWin32 PEアプリケーション)でWindowsシステムディレクトリにドロップします。その後、このウイルスはこの「純粋なコード」DLLファイルを生成し、ホストファイルを駆除してそれを生成し、制御をホストプログラムに戻します。

上記のエラーが発生すると、「致命的なエラー」というメッセージが表示されます。

実行すると、DDRAW32.DLLウイルスファイルがメインウイルスルーチンをアクティブにします。四つあります:

1.レジストリルーチン。これは、レジストリの自動実行キーを作成します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce =%SystemDir%DDRAW32.DLL

REGEDITアプリケーションを実行すると、このルーチンは一時的にこのキーを削除し、 "ステルス"メカニズムを実現します。

2.ネットワーク感染ルーチン。これは約4分間眠ってから、ネットワークリソース(共有ドライブ)を列挙し、そこでファイルを感染させます。共有ドライブに感染すると、ウイルスはまず書き込みが有効かどうかをチェックします。ドライブがフルアクセスのために共有されている場合、ワームはそのドライブ上でWin32ファイル感染ルーチンを起動します。このルーチンは、ドライブ上のすべてのディレクトリをスキャンし、そこにPE EXEファイルを感染させます。

ドライブが制限されたアクセスのためにマップされている場合、ウイルスは「ゲスト」名と異なるパスワードでログインしようとします。ウイルスは本当のパスワードを推測しようとしているようで、ログインが成功すると感染ルーチンを開始します。

このウイルスはまた、リモートマシンへのアクセスを4つの方法で試みます。このマシンへのアクセスを「そのまま」取得し、隠し管理共有C $、D $、E $を取得しようとします

これはペイロードルーチンです。感染したマシンはまず、システムレジストリに実行時間と日付を格納します(下記参照)。最初の実行からの時間間隔に応じて、次のリストに従ってアクティブなプロセスを終了するペイロードルーチンをアクティブにします。

Msgsrv32、Mprexe、エクスプローラ、Taskmon、Internat、Systray、Mmtask、ddraw32

その後、ウイルスコードから "Win95.CIH"ウイルスをRUN.EXEファイルに抽出して実行します。 "Win95.CIH"破壊ルーチンはすぐに実行されるようにパッチされています。その結果、CIHのFlash BIOSおよびFAT破壊ルーチンが直ちに起動されます。

4.ネットワーキング。このルーチンは、ネットワーク内のすでに感染しているすべてのマシンをリッスンします。同時に、ペイロードルーチンが起動されている場合、ウィルスネットワーキングルーチンは、他のすべての感染マシンに特別な「ペイロード」メッセージを送信します。結果として、感染したマシンがペイロードにアクセスすると、ローカルネットワーク内の他のマシンはすべて「ペイロード」メッセージを受信し、ペイロードを開始します。そのため、ネットワーク内のすべての感染マシンが同時に崩壊します。

ステルス

レジストリのステルスルーチンに加えて、ウイルスはそのDDRAW32.DLLファイルも隠します。これを実行するには、メモリプロセス検索関数をフックし、感染プロセスが検索されている場合には「プロセスなし」というメッセージを返します。

その他

ウイルスは以下のレジストリキーを変更します。

HKLMSystemCurrentControlSetServicesClass
イド
行こう

HKLMEnumNetwork
Cnum
イヌム

ウイルスにはテキスト文字列も含まれています。

Bumerang


オリジナルへのリンク