Valla
先日社内でValla(別名Xorala)というウィルスが発見された。
とはいえ幸い見つかったのは一台のマシンのみ。他への感染はない。
すぐに方々を調べたのだが
いや、だからどこからどうやって感染するのよ。WindowsフォルダとWindowsのシステムフォルダにある実行可能形式(PE型)ファイルに2048バイトのウイルスコードを追加する形で感染活動を行います。感染活動以外に特に悪質な破壊活動は行いません。
第一Windowsフォルダとシステムフォルダどころか、.exeファイルはほとんど根こそぎ感染してるっつーの!
シマンテックも似たような感じ。
で、今日ようやく↓を見つけた。
“カレントフォルダとカレントフォルダの1つ下のフォルダを再帰的に”か。Windowsフォルダとシステムフォルダ、カレントフォルダとカレントフォルダの1つ下のフォルダを再帰的に検索し、拡張子がEXEのプログラムに感染する。感染したプログラムはファイルサイズが2048バイト増加する。発病はない。
それでようやくわかった。
どこかで拾ってきた.exeファイルが感染済のヤツで、それを開いてってこうなったわけか。
わかってみれば何ということもないが、トレンドマイクロもシマンテックも、もうちょっと記述はちゃんとしろよな。