WindowsXP
sality

ウィルスと闘ってみた。その4

More than 1 year has passed since last update.

概要

開発用のXPが、どうにも調子が悪い。
ウィルスと闘ってみた。
salityを、調査してみた。

本体

感染したファイルのオリジナルのエントリポイントを自身のウイルスコードに置き換え、PEイメージの最後のセクションに自身を付加します。
ファイルが感染すると、サイズが70KB増えます。
ファイルに感染するタイプのマルウエア(寄生型ウイルス)です。
寄生してるので、そのファイルが実行されると、salityが動き出す。

機能1

パソコン上の全プロセスに、自分のコピーを挿入し、活動を確実に続けられるようにする。

機能2

パソコンが通常備えているセキュリティ機能を低下させる、もしくは無効化するため、
ウイルス対策ソフトやパーソナルファイアウォールをはじめ、セキュリティに関連する各種のプロセスとサービスを停止させる。

機能3

パソコンのハードディスクとWindowsの共有フォルダにあるファイルに感染する。

機能4

他のマルウエアや攻撃ツールをダウンロードして実行する。

機能5

P2Pのクライアントとサーバーのコードが入っていて、感染パソコンはP2Pボットネットのボットとして動く。

感想

どの機能も、魔法だ。