ウイルス情報

ウイルス名 危険度

W32/Cervan

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4238
対応定義ファイル
(現在必要とされるバージョン)
4363 (現在7633)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 02/12/12
発見日(米国日付) 02/11/24
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法
このウイルスには、4236定義ファイルで対応いたします。4236定義ファイルは02/12/12に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

概要

TOPへ戻る

ウイルスの特徴

  • この寄生多様型のWin32ウイルスは、それほど確実性のある感染力はありません。多くのファイルはウイルスの改ざん後は実行できません。

  • このウイルスで留意すべき点は、新しいタイプの感染方法を使うことです。これは重要なホストテーブル全体を置き換えます。そのため、ホストプログラムが最初にAPIを呼び出した時に、ウイルスのコントロールを転送します。

  • また、下記のテキストを運びます。

  • Win32 Loicer by Vancheer/CVC,made in China,2002

  • このウイルスのドロッパ(INFECTOR.EXE)は12月24日にウイルス作成者によって広められました。このドロッパは律義にも承認を求めてきました。ドロッパが実行されると、以下のメッセージボックスを表示します。

  • キャンセルを選択すると、ドロッパは終了します。ターゲットフォルダの変更の有無に関わらず、別のメッセージボックスが表示されます。

  • このドロッパはホントに律義ですね!!その後、別のテキストが記載されたドロッパのパッチが配布されます。

  • Win32 IRON IDOL (c) Energy, another fine virus

  • どちらのドロッパ(どちらもウイルスではない)も以下のテキストを運びます。

  • When you see this file,the directory maybe have been infected by this virus

  • このメッセージは、ドロッパがクラッシュしなければ表示されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • いくつかの実行ファイル(Win32アプリでない場合もある)は数メガバイトに増大します。Win32 PE ファイルでも、ウイルスはしばしばファイルの終わりに暗号化されたデータを追加しますが、ファイルの重要な構造の改ざんには失敗します。

TOPへ戻る

感染方法

  • ホストのインポートテーブルを同種のインポートテーブル(KERNEL32.DLLファイルの'GetProcAddress' 、'LoadLibrary'のみをインポート)に置き換えます。さらにすべてのAPIコールはAPIの連番ストックを保存し、ウイルス解読をパスします。ウイルスは自身を解読後、APIナンバーをストックから取り出し、動的に対応するライブラリを ’LoadLivrary’を通じてロードし、’GetProcAddress' で使用するアドレスを取得、ホストプログラムに呼び出されたAPIのコントロールをパスします。

  • 暗号を解除後、ウイルスはファイルのウイルス感染の役割を持つ第2スレッドを増大させます。全てのバグは、この第2スレッドに集中すると見られます。ウイルスの解読には、多様型ほどではありませんが、比較的時間がかかります。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る