製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:K
ウイルス情報
ウイルス情報

ウイルス名
W95/Kuang.GR
危険度
対応定義ファイル4032 (現在7508)
対応エンジン4.0.35以降 (現在5600) 
エンジンバージョンの見分け方
別名PE_ZYTZMXZY, W95/Kuang, W95/Kuang.dr, W95/Kuang2.cli, W95/Kuang2.svr, W95/Weird.10240.A
発見日(米国日付)99/06/22
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/22RDN/Generic....
07/22RDN/Generic....
07/22Generic.tfr!...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7508
 エンジン:5600
 
ウイルス検索
 




W95/Kuang.GRは、リモートコンピュータ制御を行うソフトウェアであり、サーバプログラム、クライアントプログラム、ウイルスドロッパー、およびアドオンなど各種のコンポーネントで構成されている。サーバ部は、ウイルス(W95/Kuang2)によって実行される。小さいツール(W95/Kuang2.dr)は、実行ファイルへの感染を目的としている。感染ファイルがWindows95/98マシン上で実行されると、このサーバプログラムは、"ozq-ozfds2.exe" (WIN95)または"kzswoh.exe" (WIN98)という名前でWINDOWSディレクトリにコピーされる。これは隠しファイルである。

このウイルスは、EXPLORER.EXEファイルをEXPLORER.Aという名前でコピーする。このコピーは感染しており、次回のブート時に元のファイルがこのコピーに置換される(WININIT.INIを使用)。

この方法で、サーバプログラムはそれ自体の存在を隠すが(タスクとしても、レジストリ内でも表示されず、WIN.INIによってロードされることもない)、バックグラウンドで恒久的に実行され、クライアントからのコマンドを待って、すべてのハードディスク上のPE EXEファイルに次々と感染する。感染ファイルの日時は変更されないが、サイズは約11KB増大する。

このサーバプログラムがコンピュータにインストールされた後、クライアントを制御するユーザは、そのサーバプログラムが稼動するマシンをリモート制御することができる。これには、両方のマシンがインターネットに接続している必要がある。この制御には、リモートファイルのアップロード、ダウンロード、または削除が含まれる。また、プラグインアドオンを実行することもできる(Kuang2.pswは、パスワードを盗むトロイの木馬であり、Kuang2.vfはメッセージの表示、タスクバー、ボタン、デスクトップ、およびCD-ROMトレイの操作、wavファイルの実行、およびウィンドウの終了を目的としている)。

クライアントプログラムには、感染したローカルステーションのウイルスを除去するように見えるクリーナーも含まれている(IPアドレスフィールドをブランクにしたまま、"Anti-Virus"をクリックする)。このプロセスの最中に、EXPLORER.EXE(感染済み)がEXPLORER.WK2という名前でコピーされる。EXPLORER.EXEがクリーンになったら、ユーザはマシンをリブートする必要がある。リブート時に(WININIT.INI経由)、クリーンになったEXPLORER.EXEが回復する。

リブート後、これと同じ手順でハードディスク全体がスキャンされ、EXEファイルがクリーンになる。

W95/Kuang2は、NTマシン上のファイルに感染することができるが、サーバプログラムは適切にドロップされない。各種のツールのコードには、"Coded by Weird"というメッセージが含まれている。

PE(Portable Executable)フォーマットのEXEファイル

このファイル感染ウイルスが、コンピュータに感染する唯一の原因は、コンピュータでの感染ファイルの実行である。感染ファイルは、フロッピーディスク、オンラインサービスによるダウンロード、およびネットワークなど、多数のソースから生じることが考えられる。いったん感染ファイルを実行すると、ウイルスおよびサーバプログラムが発動するおそれがある。