2015年11月11日 18:25
Gate.Wormファイル感染ウイルスの最新バージョンを発見 - マカフィー
というメッセージを表示する。
GetCurrentDirectoryAを使用して現在のディレクトリを取得し、そこに含まれるすべてのファイルを列挙する。そのために、マルウェアはFindFirstFileA and FindNextFileAを使用してファイル名配列を作成する。
現在のフォルダ内の全ファイルを配列に追加したら、マルウェアはマルウェアファイルのファイルサイズを計算し、マルウェアサンプル全体をクリーンファイルの冒頭に挿入してコンピューターに感染する。
感染後は、MZ構造がマルウェア本体に置き換えられ、元のファイルは単なるオーバーレイデータとして存在するようになるため、感染したクリーンファイルを実行できなくなる。
さらに、感染ファイルに以下のような形式のシグネチャを追加する。
感染ルーチンは現在のフォルダ内のすべてのサンプルに対して繰り返し実行され、プロセスが終わると、マルウェアはSleep APIを呼び出して10秒間実行を停止する。その後、コンソールウィンドウを閉じてマルウェアプロセスを終了する。
最後は、感染したすべてのサンプルに以下のようなアイコンが表示される。
オーバーレイに複数のオリジナルサンプルが含まれた感染サンプルも存在する。