ウイルス情報ウイルス情報| 種別 | トロイの木馬 | | ファイルサイズ | 低 | 最小定義ファイル
(最初に検出を確認したバージョン) | 4087 | 対応定義ファイル
(現在必要とされるバージョン) | 4087 (現在7084) | | 対応エンジン | 4.0.50以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | Crayon of Doom, LIST.VBS, PORNLIST.DOC | | 情報掲載日 | 00/07/13 | | 発見日(米国日付) | 00/07/08 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
VBS/CODは、VBScriptで作成されているインターネットウイルスで、Word の文書内に埋め込まれます。このウイルスは、MAPI電子メールで送信されたり、感染しているユーザがIRCチャットを利用するによって送信されたりします。このファイル名は"PORNLIST.DOC"です。
このウイルスは、コードを実行するときにWindows Scripting Hostを必要とします。
このウイルスは、次の形式の電子メールで送信されます。
Subject = 'Hey whats up, Important!'
Body = 'Hey I attatched a list for you to this e-mail take a look at it and tell me what you think.'
Attachments = 'c:\pornlist.doc'
添付ファイルは、'LIST.VBS'という名前の埋込みスクリプトを含むWord文書です。この文書は、次の内容になっています。
Double click me to view my picture
Please view my nude picture and e-mail me back if you think that I am
good enough to pose for my webpage.
email: sexygirl18@hotmail.com
<訳>
ダブルクリックして、私の写真を見てください。
私のヌード写真を見て、私のホームページに掲載してもいいと思ったら、メールを返信してください。
Email: sexygirl18@hotmail.com
ダブルクリックをうながすセンテンスの上にあるアイコンは、.GIFファイルを示していますが、埋込みオブジェクトは写真ではなく、.VBSファイルです。
ダブルクリックしてオブジェクトが起動され、WSHがインストールされると、このウイルスは分散ルーチンを起動して、ファイルをシステムに書き込み、MAPI電子メールでアドレス帳に含まれているすべての宛先に自身を送信します。また、"C:\MIRC"にあるmIRC、および"C:\PIRCH98"にあるPirch98のインストールプログラムを検索します。プログラムが見つかると、このウイルスはクライアントアプリケーションのスクリプトを修正して、IRCチャネルに参加するときに自身を分散します。
このウイルスは、次のファイル名でローカルにあるハードドライブに自身をコピーします。
[temp]\list.vbs
WINDOWS\cod.cod
WINDOWS\list.vbs
WINDOWS\winsck.vbs
WINDOWS\SYSTEM\explorer.vbs
WINDOWS\SYSTEM\list.vbs
次に、このウイルスは対応付けられているドライブをすべて検索して、PORNLIST.DOCとLIST.VBSをルートディレクトリにコピーします。
このウイルスは、MAPI電子メールルーチンを起動しますが、最初に、レジストリを調べて、次に示すキーの値をチェックします。
HKCU\Software\Microsoft\Windows\CurrentVersion
Sent? = [value]
値がヌル(NULL)の場合、このウイルスは電子メールルーチンを起動してから、この値を'1'に設定します。電子メールルーチンは、上記の形式でMAPI電子メールメッセージを送信します。また、次の形式で別の電子メールを送信します。
Recipient = 'ilikerolls@aol.com'
Subject = 'I am screwed'
Body = 'I am infected with the crayon of doom virus!'
Attachments = 'c:\pornlist.doc'
このウイルスは、レジストリと環境設定ファイルWIN.INIおよびSYSTEM.INIを修正して、Windowsの起動時に自身をロードします。
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ScanRegistry = WINDOWS\list.vbs
HKLM\Software\Microsoft\Windows\CurrentVersion\
Run = WINDOWS\SYSTEM\list.vbs
HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices = [temp]\list.vbs
* WIN.INIは、次のように修正されます。
[windows]
run = WINDOWS\winsck.vbs
* SYSTEM.INIは、次のように修正されます。
[boot]
shell = Explorer.exe explorer.vbs
このウイルスは、C:\MIRCにMIRCのインストールプログラムがあるかどうか調べます。このプログラムが見つかった場合は、スクリプトを修正して、IRCチャネルに参加したときに、それらのチャネルに"C:\PORNLIST.DOC"ファイルを分散します。また、SCRIPT.INIを修正して、次に示す種類のファイルを受信できるようにします。
*.exe,*.com,*.bat,*.dll,*.ini,*.vbs.
このウイルスは、C:\PIRCH98にPIRCH98のインストールプログラムがあるかどうか調べます。 このプログラムが見つかった場合は、スクリプトを修正して、IRCチャネルに参加したときに、それらのチャネルに'C:\PORNLIST.DOC'ファイルを分散します。
また、このウイルスには、書き込まれたファイルがすべて削除されていないことを確認するためのセルフチェックルーチンがあります。削除されているファイルがあると、再作成されます。レジストリがチェックされ、キーが削除されていないことが確認されます。
このウイルスには、コードのソースにある次のコメントラインが含まれますが、表示されることはありません。
'Crayon Of Doom Virus By crayolarx
埋込みオブジェクトが起動されると、Windowsには、次の内容のダイアログメッセージボックスが表示されます。
You are about to activate an OLE object that may contain viruses or be otherwise harmful to your computer. It is important to be ceratain that it is from a trustworthy source. Do you want to continue?
[YES] [NO]
<訳>
あなたは、ウイルスが含まれている可能性のあるOLEオブジェクトを起動しようとしています。このオブジェクトを起動すると、あなたのコンピュータは破損します。メールが信頼のある送信元から送られていることを確認することが大切です。続行しますか?
[YES] [NO]
'NO'を選択すると、スクリプトは実行されませんが、'YES'を選択すると、スクリプトが実行されます。
次のファイルが存在します。
[temp]\list.vbs
WINDOWS\cod.cod
WINDOWS\list.vbs
WINDOWS\winsck.vbs
WINDOWS\SYSTEM\explorer.vbs
WINDOWS\SYSTEM\list.vbs
電子メールの分散、およびMIRC/PIRCH98の分散は、上記のように行われます。
