PE_MAGISTR.B
詳 細: -
非常に流行した「PE_MAGISTR.A」ウイルスの強力な亜種です。32bit実行可能形式(PE形式)のファイルに感染するメモリ常駐型ミューテーション型のファイル感染型ウイルスであり、自身の感染ファイルをメールに添付して送付するワーム活動も行います。
活動:
ウイルスは実行されるとメモリの内容を調べロードされているEXPLORER.EXEを探します。EXPLORER.EXEはエクスプローラーの実体ファイルであり、通常は必ずWindowsのシステムにロードされてます。次にウイルスはメモリ上のEXPLORER.EXEのコードを改変します。ウイルスはまたメモリ上に読み込まれている各種APIの所在も調べ上げます。これは感染活動とその感染の痕跡を隠すステルス活動を行うためです。その後ウイルスは活動を開始します。
このウイルスは大きく分けて以下の活動を行います:
1)ファイル感染活動:
ウイルスはすべてのローカルドライブ、ネットワークドライブ、共有フォルダから "WinNT", "Windows",
"Win95", "Win98","WinME","Win2000","Win2K","WinXP"
という名前のディレクトリを検索します。そして検索されたディレクトリ内にあるすべての拡張子.EXEもしくは.SCRでPE形式の実行可能ファイルに自身のウイルスコードを追加して感染します。
2)ワーム活動:
「OutlookExpress」か「NetscapeMessenger」がWindowsの標準のメーラーに指定されていた場合、ウイルスはワーム活動を開始します。
まず、ウイルスはメールの送信先アドレスを取得するために感染マシン内の".WAB"、".DBX"、".MBX"の拡張子のファイルを検索します。".WAB"はマイクロソフト社製「Internet
Mail」用のアドレス帳ファイルの拡張子です。".DBX"はマイクロソフト社製「Outlook Express」用のアドレス帳ファイルおよびメールのバックアップファイルの拡張子です。".MBX"はマイクロソフト社製「Outlook
Express」用のメールボックスファイルの拡張子です。ウイルスはWindowsディレクトリにランダムなファイル名のDATファイルを隠し属性で作成し、以上のファイル内から取得できたE-Mailのアドレスを記録します。
次にウイルスは記録したE-Mailアドレス全部に対し、自身の感染ファイルを添付したメールを送信します。ウイルスは自身がメールクライアントとしてメール送信を行う能力を持っています。このためメール送信の記録はメーラーには残りません。また、ウイルスはメール送信を行うためのSMTPサーバーの情報をWindowsの標準のメーラーの設定から取得します。
ウイルスが送信するメールの件名、本文、添付ファイル名は不定です。メール件名と本文については感染マシン内のDOCおよびTXTファイル内の文字列を無作為に流用します。
添付ファイルに関しては拡張子をEXEからcom、pif、batに変更して送信する場合があります。
また同時にウイルス感染のない.GIF、.DOC、.TXTの拡張子のファイルを感染マシン内からランダムに選んで添付する場合もあります。
ウイルスは送信するメールの送信先アドレスをBCC:に設定するのでメールのTo:フィールドは空欄になります。
3)自動起動設定:
ウイルスはWindowsの起動時に自身が自動的に起動されるよう感染活動後にWindowsのシステムを改変します。ウイルスはWindowsディレクトリ(通常はC:\windows)もしくはWindowsのシステムディレクトリに感染ファイルのコピーをランダムな文字列のファイル名(例:asdf.exe)で1つ作成します。
次に作成した感染ファイルのコピーをWindowsのレジストリの以下の値で登録します:
場所:\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値: <ファイル名> = <ファイル名のフルパス>
例:c:windowsディレクトリにasdf.exeを作成した場合:
asdf = c:\Windows\asdf.exe
また、WindowsのシステムファイルであるSYSTEM.INIの"SHELL="の項目にも記述を追加します。
例:c:windowsディレクトリにasdf.exeを作成した場合:
SHELL = explorer.exe c:\Windows\asdf.exe
これらの設定によりWindows起動時にウイルスが自動起動されてしまいます。
4)破壊活動:
・ウイルスは感染活動と同時に検索された拡張子が.NTZのファイルをすべて削除します。
・ウイルスはアプリケーションレベル、システムレベルのデバッガーソフトがシステムにインストールされていないか調査します。この調査のためにウイルスは単純にローカルドライブ内に"NTICE"もしくは"SICE"という名前のディレクトリの存在を調べます。上記ディレクトリが存在した場合、ウイルスはシステムをハングアップさせます。
・ウイルスはオープンされているウインドウに"ZoneAlarm"というタイトルのものがあった場合、そのウインドウを強制終了させます。"ZoneAlarm"はプロキシのソフトウェア名です。
・マシンの起動ドライブのルートディレクトリに"NTLDR"ファイルがあると同時にWindowsディレクトリに"WIN.COM"ファイルが存在した場合、ウイルスはこの二つのファイルを改変し、以下の文字列のメッセージを表示します:
Another haughty bloodsucker.......
YOU THINK YOU ARE GOD, BUT YOU ARE ONLY A CHUNK OF SHIT
改変されたNTLDR"と"WIN.COM"は実行されると"プライマリのハードディスクを上書してデータを破壊してしまいます。"NTLDR"はWindowsNT/2000の、"WIN.COM"はWindows9x/Meのシステムファイルであり、Windows起動時には必ず実行されます。つまり、次回Windows再起動時にハードディスク内のデータがすべては破壊されることになります。
--------------------------------------------------------------------------------
備 考: ・ウイルスを実行してしまい改変されたシステムは以下の方法で修復する必要があります。
※安全のため、Windowsをセーフモードで起動して行うことをお勧めします。
1)ウイルス検索を行い、検出したファイルからすべて「駆除」を行ってください。
2)Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除してください:
場所:\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値: <ファイル名> = <ファイル名のフルパス>
例:c:windowsディレクトリにasdf.exeを作成した場合:
asdf = c:\Windows\asdf.exe
3)Windowsのシステムエディタ(SYSEDIT.EXE)などでSYSTEM.INIの記述を以下のように修正します:
修正前:SHELL = explorer.exe c:\Windows\asdf.exe
↓
修正後:SHELL = explorer.exe
−−−
・ウイルスコード内に以下の文字列を含みます:
sentences you sentences him to sentence you to ordered to prison convict
, judge circuit judge trial judge found guilty find him guilty affirmed
judgment of conviction verdict guilty plea trial court trial chamber sufficiency
of proof sufficiency of the evidence proceedings against the accused habeas
corpus jugement condamn trouvons coupable a rembourse sous astreinte aux
entiers dTpens aux dTpens ayant dTlibTrT le prTsent arrOt vu l’arrOt conformTment
a la loi exTcution provisoire rdonn audience publique a fait constater
cadre de la procTdure magistrad apelante recurso de apelaci pena de arresto
y condeno mando y firmo calidad de denunciante costas procesales diligencias
previas antecedentes de hecho hechos probados sentencia comparecer juzgando
dictando la presente los autos en autos denuncia presentada
|