ウイルス情報

ウイルス名

W32/Redemption

このウイルスは、初めて実行されたときに、WINDOWSおよびWINDOWS\SYSTEMフォルダ内のすべてのPE/LE.EXE&squotsおよび.SCRに感染し、Win95/98またはNTのいずれかで機能する。

ファイルに感染すると、ウイルス自体のスペースを確保するためにファイルの終わりからRun Length Compression(ファイル長の圧縮)を実行する。PE EXEは、同じバイト(通常は0)のシーケンスが多数存在するので(特に通常、EXEの終わりに位置するリソースセクション)、この圧縮に非常に適している。その後、この圧縮データの最後にウイルスが書き込まれる。ファイルの長さは変化しない。次にウイルスは、03Chのオフセットを変更して、それ自体のPEヘッダを指すようにする。

感染ファイルが実行されると、ウイルスはそれ自体のコピーを一時ファイルに抽出し、まだ実行されていない場合は個別のプロセスとしてそのコピーを実行する。この個別のプロセスはバックグラウンドに常駐し、ときどき(およそ20〜30秒ごとに).EXEやSCRを求めてハードディスク上のフォルダをスキャンし、見つけ出したファイルに感染する。

その後、元の寄生先ファイルは、一時ファイルにまで拡張され、子プロセスとして実行される。この子プロセスが終了すると、ウイルスはリターンコードを取得し、それを戻して終了する。

発病ルーチンと連係している日付依存性はあるように思われるが、詳細はまだ分かっていない。

ウイルス本体は、単独のPE実行ファイルで構成されているので、コードに適用される再配置のために、ポリモアフィック性が本来備わっており、寄生先のEXEにおいて異なるオフセットでの実行が可能である。

理論的には、このウイルスがDOS実行ファイルやEXEに感染するのを止めるものはないが、PEヘッダの有無をチェックするWin32環境以外では実行されない。