Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これは非常に危険なWin32ウイルスワームです。ウイルス自体はWindows PE EXEファイルで、約23Kbの長さ（UPXで圧縮され、約52Kの解凍サイズを持つ）であり、Microsoft Visual C ++で書かれています。ローカルネットワーク経由で広がり、そこにWin32 EXEアプリケーション（PE EXEファイル）を感染させます。感染すると、ウイルスはファイルの終わりまでファイルを移動し、ファイルの先頭に自身を書き込みます。その結果、感染ファイルが開始されると、ウイルスコードが制御されます。

ウィルスはWin9x固有の呼び出しを使用し、Win9xマシンでのみ動作します。ウイルスはネットワークの性質上、NTマシン上のファイルに感染する可能性がありますが、そこでは実行できません。

ウイルスルーチン

感染ファイルが実行されると、ウイルスは感染したホストファイルからそのコードを取得し、DDRAW32.DLL名（このファイルは「純粋な」ウイルスコードを持つWin32 PEアプリケーション）でWindowsシステムディレクトリにドロップします。その後、このウイルスはこの「純粋なコード」DLLファイルを生成し、ホストファイルを駆除してそれを生成し、制御をホストプログラムに戻します。

上記のエラーが発生すると、「致命的なエラー」というメッセージが表示されます。

実行すると、DDRAW32.DLLウイルスファイルがメインウイルスルーチンをアクティブにします。四つあります：

1.レジストリルーチン。これは、レジストリの自動実行キーを作成します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce =％SystemDir％DDRAW32.DLL

REGEDITアプリケーションを実行すると、このルーチンは一時的にこのキーを削除し、 "ステルス"メカニズムを実現します。

2.ネットワーク感染ルーチン。これは約4分間眠ってから、ネットワークリソース（共有ドライブ）を列挙し、そこでファイルを感染させます。共有ドライブに感染すると、ウイルスはまず書き込みが有効かどうかをチェックします。ドライブがフルアクセスのために共有されている場合、ワームはそのドライブ上でWin32ファイル感染ルーチンを起動します。このルーチンは、ドライブ上のすべてのディレクトリをスキャンし、そこにPE EXEファイルを感染させます。

ドライブが制限されたアクセスのためにマップされている場合、ウイルスは「ゲスト」名と異なるパスワードでログインしようとします。ウイルスは本当のパスワードを推測しようとしているようで、ログインが成功すると感染ルーチンを開始します。

このウイルスはまた、リモートマシンへのアクセスを4つの方法で試みます。このマシンへのアクセスを「そのまま」取得し、隠し管理共有C $、D $、E $を取得しようとします

これはペイロードルーチンです。感染したマシンはまず、システムレジストリに実行時間と日付を格納します（下記参照）。最初の実行からの時間間隔に応じて、次のリストに従ってアクティブなプロセスを終了するペイロードルーチンをアクティブにします。

Msgsrv32、Mprexe、エクスプローラ、Taskmon、Internat、Systray、Mmtask、ddraw32

その後、ウイルスコードから "Win95.CIH"ウイルスをRUN.EXEファイルに抽出して実行します。 "Win95.CIH"破壊ルーチンはすぐに実行されるようにパッチされています。その結果、CIHのFlash BIOSおよびFAT破壊ルーチンが直ちに起動されます。

4.ネットワーキング。このルーチンは、ネットワーク内のすでに感染しているすべてのマシンをリッスンします。同時に、ペイロードルーチンが起動されている場合、ウィルスネットワーキングルーチンは、他のすべての感染マシンに特別な「ペイロード」メッセージを送信します。結果として、感染したマシンがペイロードにアクセスすると、ローカルネットワーク内の他のマシンはすべて「ペイロード」メッセージを受信し、ペイロードを開始します。そのため、ネットワーク内のすべての感染マシンが同時に崩壊します。

ステルス

レジストリのステルスルーチンに加えて、ウイルスはそのDDRAW32.DLLファイルも隠します。これを実行するには、メモリプロセス検索関数をフックし、感染プロセスが検索されている場合には「プロセスなし」というメッセージを返します。

その他

ウイルスは以下のレジストリキーを変更します。

HKLMSystemCurrentControlSetServicesClass
イド
行こう

HKLMEnumNetwork
Cnum
イヌム

ウイルスにはテキスト文字列も含まれています。

Bumerang

オリジナルへのリンク

クラス	Worm
プラットフォーム	Win32
説明	技術的な詳細これは非常に危険なWin32ウイルスワームです。ウイルス自体はWindows PE EXEファイルで、約23Kbの長さ（UPXで圧縮され、約52Kの解凍サイズを持つ）であり、Microsoft Visual C ++で書かれています。ローカルネットワーク経由で広がり、そこにWin32 EXEアプリケーション（PE EXEファイル）を感染させます。感染すると、ウイルスはファイルの終わりまでファイルを移動し、ファイルの先頭に自身を書き込みます。その結果、感染ファイルが開始されると、ウイルスコードが制御されます。ウィルスはWin9x固有の呼び出しを使用し、Win9xマシンでのみ動作します。ウイルスはネットワークの性質上、NTマシン上のファイルに感染する可能性がありますが、そこでは実行できません。ウイルスルーチン感染ファイルが実行されると、ウイルスは感染したホストファイルからそのコードを取得し、DDRAW32.DLL名（このファイルは「純粋な」ウイルスコードを持つWin32 PEアプリケーション）でWindowsシステムディレクトリにドロップします。その後、このウイルスはこの「純粋なコード」DLLファイルを生成し、ホストファイルを駆除してそれを生成し、制御をホストプログラムに戻します。上記のエラーが発生すると、「致命的なエラー」というメッセージが表示されます。実行すると、DDRAW32.DLLウイルスファイルがメインウイルスルーチンをアクティブにします。四つあります： 1.レジストリルーチン。これは、レジストリの自動実行キーを作成します。 HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce =％SystemDir％DDRAW32.DLL REGEDITアプリケーションを実行すると、このルーチンは一時的にこのキーを削除し、 "ステルス"メカニズムを実現します。 2.ネットワーク感染ルーチン。これは約4分間眠ってから、ネットワークリソース（共有ドライブ）を列挙し、そこでファイルを感染させます。共有ドライブに感染すると、ウイルスはまず書き込みが有効かどうかをチェックします。ドライブがフルアクセスのために共有されている場合、ワームはそのドライブ上でWin32ファイル感染ルーチンを起動します。このルーチンは、ドライブ上のすべてのディレクトリをスキャンし、そこにPE EXEファイルを感染させます。ドライブが制限されたアクセスのためにマップされている場合、ウイルスは「ゲスト」名と異なるパスワードでログインしようとします。ウイルスは本当のパスワードを推測しようとしているようで、ログインが成功すると感染ルーチンを開始します。このウイルスはまた、リモートマシンへのアクセスを4つの方法で試みます。このマシンへのアクセスを「そのまま」取得し、隠し管理共有C $、D $、E $を取得しようとしますこれはペイロードルーチンです。感染したマシンはまず、システムレジストリに実行時間と日付を格納します（下記参照）。最初の実行からの時間間隔に応じて、次のリストに従ってアクティブなプロセスを終了するペイロードルーチンをアクティブにします。 Msgsrv32、Mprexe、エクスプローラ、Taskmon、Internat、Systray、Mmtask、ddraw32 その後、ウイルスコードから "Win95.CIH"ウイルスをRUN.EXEファイルに抽出して実行します。 "Win95.CIH"破壊ルーチンはすぐに実行されるようにパッチされています。その結果、CIHのFlash BIOSおよびFAT破壊ルーチンが直ちに起動されます。 4.ネットワーキング。このルーチンは、ネットワーク内のすでに感染しているすべてのマシンをリッスンします。同時に、ペイロードルーチンが起動されている場合、ウィルスネットワーキングルーチンは、他のすべての感染マシンに特別な「ペイロード」メッセージを送信します。結果として、感染したマシンがペイロードにアクセスすると、ローカルネットワーク内の他のマシンはすべて「ペイロード」メッセージを受信し、ペイロードを開始します。そのため、ネットワーク内のすべての感染マシンが同時に崩壊します。ステルスレジストリのステルスルーチンに加えて、ウイルスはそのDDRAW32.DLLファイルも隠します。これを実行するには、メモリプロセス検索関数をフックし、感染プロセスが検索されている場合には「プロセスなし」というメッセージを返します。その他ウイルスは以下のレジストリキーを変更します。 HKLMSystemCurrentControlSetServicesClass イド行こう HKLMEnumNetwork Cnum イヌムウイルスにはテキスト文字列も含まれています。 Bumerang
	オリジナルへのリンク

Worm.Win32.Bumerang

技術的な詳細