製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス情報

ウイルス名
Burglar.1150.A
危険度
対応定義ファイル4002 (現在7562)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名Grangrave
発見日(米国日付)99/01/01
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/14RDN/Obfuscat...
09/14RDN/GenericA...
09/14RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7562
 エンジン:5600
 
ウイルス検索
 


このDOSベースのメモリ常駐型ファイル感染ウイルスは、DOS EXEファイルに感染する。また、Windows .EXEファイル上のDOSスタブに感染することもある。 感染ファイルを起動すると、このウイルスは自身をインストールして、メモリに常駐する。メモリにロードすると、このウイルスはコンベンショナルDOSメモリ容量を1376バイトだけ減らす。たとえば、v6.20 DOSベースのコンピュータで、メモリに他の正当なドライバとプログラムがロードされている場合に、[元々、640Kのコンベンショナルメモリがある場合]メモリ容量が減ると、スクリーンには592,192バイトではなく、590,816バイトと表示される。 コンピュータによっては、環境設定に応じて、表示されるコンベンショナルメモリ容量が異なる場合があるので注意すること。 このウイルスは、一般に使用されているビューアによってスクリーン上で検出されないようにするために、メモリに常駐している間は、サイズステルス特性を示す。サイズステルス特定が表示されるのは、このウイルスがメモリ内でアクティブな場合に限る。感染ファイルのサイズは1150バイトだけ増加する。 アンチウイルスプログラムの多くは、整合性[自己]チェックを行ってから、ファイルをスキャンする。アンチウイルスプログラムは、ファイルが修正されていることを発見すると、エンドユーザにそのことを警告し、稼動を停止する。Burglar.1150.Aは、このような方法で検出されないようにするために、「テキストチェック」ルーチンを使用して、[アンチウイルス]プログラムへの感染を避ける。このため、ファイル名にアルイファベットのSとVが含まれる.EXEプログラムファイルには感染しない。したがって、SCAN.EXEなどのプログラムには感染しない。 感染ファイルには、次の暗号化文字列が含まれる。 Burglar/H Burglar.1150.Aがメモリに常駐していると、スクリーンの左上角に上記のメッセージが瞬間的にフラッシュする。メッセージが表示されるのは、ファイルに感染している最中に、時計が14分になったとき(1分間)だけである。最近のコンピュータでは、このメッセージは認識できないほどの早さでフラッシュする。 また、感染ファイルには次の解読文字列も含まれる。 AT THE GRAVE OF GRANDMA.... この文字列は表示されない。 多くのメモリ常駐型ファイル感染ウイルスと同様、このウイルスはDOS Int21h(DOSサービス)をフックして、次に示すInt21hサブ関数をトラップして、モニタする。 11h (FINDFIRST)、12h(FINDNEXT)、3Dh(FILE OPEN)、43h(GET/SET FILE ATTRIBUTES)、13h(FILE DELETE)、36h(GET DISK FREE SPACE)、4Bh(LOAD/EXECUTE PROGRAM) 次の点に注意すること。 1) Windows 95、Windows 98、およびWindows NTでは、仮想マシン(VM)と呼ばれるものを使用している。VMは、「DOSボックス」と呼ばれる方がより一般的である。DOSボックスが真の意味で「DOS」でない場合は、WindowsベースのDOSボックスと言った方が的確な表現である。

2) このようにVMはDOSであることを正確に示すものなので、多くのDOSベースウイルス(直接アクションとメモリ常駐型)は、依然としてWindows 95、Windows 98、およびWindows NT DOSボックス上で自己複製を続ける。,p. 3) Windows 95、Windows 98、およびWindows NT DOSボックスには、それ自身の仮想メモリが640Kある。メモリ常駐型ウイルスがDOSボックスに常駐していて、他のDOSボックスがオープンされても、そのウイルスは必ずしもオープンされたDOSボックスの仮想メモリに常駐するわけではない。

4) Windows 95、Windows 98、およびWindows NT DOSボックス内で、メモリ常駐型ウイルスがトラップして、モニタするInt21hコールがエミュレートされる。多くのメモリ常駐型ウイルスは、WindowsベースのDOSボックスのメモリに常駐するようになり、プログラムファイルが実行またはオープンされた場合などに、そのファイルに感染する。Burglar.1150.Aは、実際にこの機能を備えている。

5) Windows 95、Windows 98、およびWindows NT DOSボックスを閉じると、このウイルスはメモリ内ではアクティブにならない。また、次にDOSボックスがオープンされても、メモリには常駐しない場合がある。新たにオープンされたDOSボックスで、このウイルスがメモリに常駐するようになるには、次の2つのケースがある。

1) 感染プログラムがDOSボックスで実行される場合。

2) DOSボックスをオープンするときに実行したコマンドインタプリタ(COMMAND.COM)がすでに感染している場合。

6) 前述のとおり、Windows 95、Windows 98、およびWindows NT DOSは、真の意味でDOSを示すものである。Int21h関数をトラップするメモリ常駐型ウイルスは、同様の方法で実行する場合が多い。サイズステルス特性などを使用するメモリ常駐型ウイルスは、WindowsベースDOSボックス上でサイズステルスを問題なく使用できる場合がある。実際に、このウイルスは、WindowsベースDOSボックス上でサイズステルスを問題なく使用することができる。

7) Explorerなどのプログラムによってファイルのプロパティが表示される場合、ウイルスはアクティブなWindowsベースDOSボックスに常駐していても、サイズステルス特性を使用することができない。たとえば、ユーザがWindowsベースのDOSボックスをオープンして、サイズステルスを使用するウイルスがそのDOSボックスに常駐しているとする。このユーザはDOSボックス上でDIRコマンドを実行して、ファイルサイズが適切かどうか確認するが、ウイルスはサイズステルスを使用しているため、ファイルサイズは正しく表示される。DOSボックスをオープンにしたまま、Windowsのエクスプローラを起動して、当該ファイルを右クリックし、[プロパティ]でそのファイルのプロパティ(特にバイト数)を確認する。ウイルスが[オープンしているDOSボックスの]メモリ内でアクティブになっていても、エクスプローラの[ファイル]-[プロパティ]に表示されるファイルサイズは、WindowsベースのDOSボックスに表示されるファイルサイズとは異なる。ユーザは、正確なファイルサイズを把握していないまま(ほとんどのユーザはファイルサイズを知らないが)このプロセスを実行すると、2つの異なるファイルサイズ(1つはDOSボックス、もう1つはエクスプローラ)を見つけて、どこかに異常があることに気が付く。