ウイルス情報

ウイルス名

W95/Kuang.GR

危険度
対応定義ファイル 4032 (現在7656)
対応エンジン 4.0.35以降 (現在5600) 
エンジンバージョンの見分け方
別名 PE_ZYTZMXZY, W95/Kuang, W95/Kuang.dr, W95/Kuang2.cli, W95/Kuang2.svr, W95/Weird.10240.A
発見日(米国日付) 99/06/22


W95/Kuang.GRは、リモートコンピュータ制御を行うソフトウェアであり、サーバプログラム、クライアントプログラム、ウイルスドロッパー、およびアドオンなど各種のコンポーネントで構成されている。サーバ部は、ウイルス(W95/Kuang2)によって実行される。小さいツール(W95/Kuang2.dr)は、実行ファイルへの感染を目的としている。感染ファイルがWindows95/98マシン上で実行されると、このサーバプログラムは、"ozq-ozfds2.exe" (WIN95)または"kzswoh.exe" (WIN98)という名前でWINDOWSディレクトリにコピーされる。これは隠しファイルである。

このウイルスは、EXPLORER.EXEファイルをEXPLORER.Aという名前でコピーする。このコピーは感染しており、次回のブート時に元のファイルがこのコピーに置換される(WININIT.INIを使用)。

この方法で、サーバプログラムはそれ自体の存在を隠すが(タスクとしても、レジストリ内でも表示されず、WIN.INIによってロードされることもない)、バックグラウンドで恒久的に実行され、クライアントからのコマンドを待って、すべてのハードディスク上のPE EXEファイルに次々と感染する。感染ファイルの日時は変更されないが、サイズは約11KB増大する。

このサーバプログラムがコンピュータにインストールされた後、クライアントを制御するユーザは、そのサーバプログラムが稼動するマシンをリモート制御することができる。これには、両方のマシンがインターネットに接続している必要がある。この制御には、リモートファイルのアップロード、ダウンロード、または削除が含まれる。また、プラグインアドオンを実行することもできる(Kuang2.pswは、パスワードを盗むトロイの木馬であり、Kuang2.vfはメッセージの表示、タスクバー、ボタン、デスクトップ、およびCD-ROMトレイの操作、wavファイルの実行、およびウィンドウの終了を目的としている)。

クライアントプログラムには、感染したローカルステーションのウイルスを除去するように見えるクリーナーも含まれている(IPアドレスフィールドをブランクにしたまま、"Anti-Virus"をクリックする)。このプロセスの最中に、EXPLORER.EXE(感染済み)がEXPLORER.WK2という名前でコピーされる。EXPLORER.EXEがクリーンになったら、ユーザはマシンをリブートする必要がある。リブート時に(WININIT.INI経由)、クリーンになったEXPLORER.EXEが回復する。

リブート後、これと同じ手順でハードディスク全体がスキャンされ、EXEファイルがクリーンになる。

W95/Kuang2は、NTマシン上のファイルに感染することができるが、サーバプログラムは適切にドロップされない。各種のツールのコードには、"Coded by Weird"というメッセージが含まれている。

PE(Portable Executable)フォーマットのEXEファイル

このファイル感染ウイルスが、コンピュータに感染する唯一の原因は、コンピュータでの感染ファイルの実行である。感染ファイルは、フロッピーディスク、オンラインサービスによるダウンロード、およびネットワークなど、多数のソースから生じることが考えられる。いったん感染ファイルを実行すると、ウイルスおよびサーバプログラムが発動するおそれがある。