製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:K
ウイルス情報
ウイルス情報

ウイルス名
W32/Kriz.3862
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4039 (現在7600)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名Kriz
亜種W32/Kriz.4092, W32/Kriz.4050
情報掲載日99/08/18
発見日(米国日付)99/08/16
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 




 

このウイルスは12月25日に起動し、発病時にはハードディスクのCMOSを破壊しようとするものです。


以下に該当するユーザーはご注意ください。

  • ウイルス対策ソフトを起動していない
  • ウイルス対策ソフトを起動しているが、エンジン・DATファイルともに最新版へアップデートしていない
  • ウイルス対策ソフトを起動しているが、オン・アクセス/リアルタイム・スキャナーを使用していない

W32/Kriz.3862は、Windows 95/98, NTのPE EXEファイル(実行ファイル)に感染します。またポリモルフィック性を有しています。感染ファイルが実行された場合、Krizは、次回システム再起動時まで、メモリに常駐します。そして自分自身のコードを暗号化し、小さなランダム復号化プログラムのみを残します。Krizがメモリに常駐しているときに、任意のアプリケーションによるファイル・オープンが発生すると、そのファイルにKrizが感染します。この感染はユーザーがファイルをスキャンしている時にも発生します。

感染ファイルが12月25日に実行された場合、PCのCMOS情報を消去しようとする発病が起きます。CMOSには、日付や時刻、そのPCが使用しているハードディスクの種別などの情報が記載されています。このウイルスは、ディスク・セクタを直接消去しようとします。またBIOSをゴミ情報でフラッシュしようとします。この挙動は特定のBIOSでのみ発生します。この発病が成功した場合、コンピュータは起動不可能になってしまいます。フロッピー起動もできなくなります。その意味で、このウイルスの発病はCIHウイルスに似ています。場合によっては、このウイルスに感染ファイルが破壊されることもあり、その場合にはウイルス駆除もできなくなります。

このウイルスはkernel32.dllに感染します。その際に、オリジナルの内容を自分自身のコードと置き換えます。このためkernel32.dllからはウイルスを駆除することができず、感染時の対処としては、オリジナル・ファイルによる上書きコピーという手法をとることになります。

ウイルスコードの中には、神を冒涜するような詩が含まれていますが、これは画面表示されることはなく、またウイルスコードの中で活用されることもありません。

ウイルス未感染のシステムで感染ファイルを実行した後、KRIZED.TT6ファイルが存在している場合は、ご注意ください。

Kriz未感染マシンでKrizが初めて作動した場合、まずKernel32.dllファイルに対し自己感染チェックを行います。Kernel32.dllが既にKrizに感染していた場合、ウイルスはKERNEL32.DLをWINDOWS\SYSTEM\KRIZED.TT6にコピーし、このローカルコピー対し感染を行います。さらにWINDOWS\WININIT.INIというファイルを作成します。このファイルには以下のような行が含まれます。

[rename]
C:\WINDOWS\SYSTEM\KERNEL32.DLL=C:\WINDOWS\SYSTEM\KRIZED.TT6

この行により、Windowsは、次回再起動時に、KRIZED.TT6をKERNEL32.DLLに置き換えてしまいます。

KERNEL32.DLLの感染コピーにおいて、ウイルスは以下の関数をフックします。

CopyFileA
CopyFileW
CreateFileA
CreateFileW
CreateProcessA
CreateProcessW
DeleteFileA
DeleteFileW
GetFileAttributesA
GetFileAttributesW
MoveFileA
MoveFileW
MoveFileExA
MoveFileExW
SetFileAttributesA
SetFileAttributesW

このフックにより、PE実行ファイルが起動、コピー、移動、スキャンされた場合、そのファイルにウイルスが感染します。

亜種名 種別1 種別2 相違点
W32/Kriz.4092 ウイルス Win32 ポリモルフィック時のサイズの微差
W32/Kriz.4050 ウイルス Win32 ポリモルフィック時のサイズの微差