ウイルス情報

ウイルス名

Worm/Slyde

危険度
対応定義ファイル 4018 (現在7656)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 Slyde
発見日(米国日付) 99/06/17


これは、Windows 3.xの環境下で稼動するように作成されたウイルスプログラムである。ドロッパーファイルPHO.EXE(32,000バイト)が実行されると、次の3ファイルが%windows%\systemフォルダにドロップされる。

Advapi.dll (2,048)
Advapi32.exe (7,936)
Advccapi.dll (7,680)

Windows 3.xおよびWindows9xでは、%windows%\system.iniファイルドライバリストが、dllの登録に使用される。

[boot] ...
drivers=mmsystem.dll ...
is changed to
drivers=mmsystem.dll advapi.dll

Windows NTでは、同じ情報がレジストリエントリに格納される。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\WOW\boot

次のリブート後、システムは、起動時にこのウイルスドライバを自動的にロードし、それによって、6.4秒ごとにAdvapi32.exeを実行するためのタイマーイベントが設定される。このウイルスプログラムは、実行されると、その3つの部分を再びドロッパーファイルにアセンブルし、それを暗号化してから、ポート25(SMTP)を介して、ハードコーディングされたIPアドレスを使用し、それ自体を添付ファイルとして送信しようとする。

現時点で、このウイルスは、「In The Wild(一般普及ウイルス)」には挙げられていない。オペレーティングシステムの機能に中間介入しようとする点で、複数のバグがあることから、このウイルスの繁殖機能は、非常に限られたものであると思われる。