製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス名危険度
W32/Cervan
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4238
対応定義ファイル
(現在必要とされるバージョン)
4363 (現在7600)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日02/12/12
発見日(米国日付)02/11/24
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る

  • この寄生多様型のWin32ウイルスは、それほど確実性のある感染力はありません。多くのファイルはウイルスの改ざん後は実行できません。

  • このウイルスで留意すべき点は、新しいタイプの感染方法を使うことです。これは重要なホストテーブル全体を置き換えます。そのため、ホストプログラムが最初にAPIを呼び出した時に、ウイルスのコントロールを転送します。

  • また、下記のテキストを運びます。

  • Win32 Loicer by Vancheer/CVC,made in China,2002

  • このウイルスのドロッパ(INFECTOR.EXE)は12月24日にウイルス作成者によって広められました。このドロッパは律義にも承認を求めてきました。ドロッパが実行されると、以下のメッセージボックスを表示します。

  • キャンセルを選択すると、ドロッパは終了します。ターゲットフォルダの変更の有無に関わらず、別のメッセージボックスが表示されます。

  • このドロッパはホントに律義ですね!!その後、別のテキストが記載されたドロッパのパッチが配布されます。

  • Win32 IRON IDOL (c) Energy, another fine virus

  • どちらのドロッパ(どちらもウイルスではない)も以下のテキストを運びます。

  • When you see this file,the directory maybe have been infected by this virus

  • このメッセージは、ドロッパがクラッシュしなければ表示されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

  • いくつかの実行ファイル(Win32アプリでない場合もある)は数メガバイトに増大します。Win32 PE ファイルでも、ウイルスはしばしばファイルの終わりに暗号化されたデータを追加しますが、ファイルの重要な構造の改ざんには失敗します。

感染方法TOPへ戻る

  • ホストのインポートテーブルを同種のインポートテーブル(KERNEL32.DLLファイルの'GetProcAddress' 、'LoadLibrary'のみをインポート)に置き換えます。さらにすべてのAPIコールはAPIの連番ストックを保存し、ウイルス解読をパスします。ウイルスは自身を解読後、APIナンバーをストックから取り出し、動的に対応するライブラリを ’LoadLivrary’を通じてロードし、’GetProcAddress' で使用するアドレスを取得、ホストプログラムに呼び出されたAPIのコントロールをパスします。

  • 暗号を解除後、ウイルスはファイルのウイルス感染の役割を持つ第2スレッドを増大させます。全てのバグは、この第2スレッドに集中すると見られます。ウイルスの解読には、多様型ほどではありませんが、比較的時間がかかります。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足