ウイルス情報

ウイルス名

WNT/Infis.4608

危険度
対応定義ファイル 4048 (現在7633)
対応エンジン 4.0.35以降 (現在5600) 
エンジンバージョンの見分け方
別名 Infis.4608, WNT.Infis.4608
発見日(米国日付) 99/10/01


このウイルスはWindows PE EXE ファイルに感染することによって拡散する。管理者権限をもつアカウントで WindowsNT 4.0 にログインした状態で、ある感染した EXE ファイルが実行されると、そのファイルに組み込まれていたウイルス コードが制御機能を持ち、4608バイトの NT ドライバ ファイル"INF.SYS"を%systemroot%\system32\drivers のディレクトリにドロップ(作成)する。このため、このウイルスは Windows9x 上にインストールされることはない。レジストリに以下のキーが新たに作成されるため、次回の起動時にこのドライバ ファイルは必ず実行される。

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\INF

再起動後、このウイルスはメモリに常駐するようになり、PE 実行可能ファイルを感染させるために、ファイルのオープンを不可能にする。感染の前に、再感染を避けるため、PE ヘッダの編集日時のフィールドに FFFFFFFFh がないかどうかをチェックする。

ファイル"INF.SYS"は、\system32\drivers フォルダに存在し、ウイルスに感染したために"rundll32.exe is not a valid Windows NT application" などのエラー メッセージが表示される。このような破損ファイルは修復不可能なため、リプレースが必要。