製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス情報

ウイルス名
VBS/COD.a
種別トロイの木馬
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4087
対応定義ファイル
(現在必要とされるバージョン)
4087 (現在7593)
対応エンジン4.0.50以降 (現在5600) 
エンジンバージョンの見分け方
別名Crayon of Doom, LIST.VBS, PORNLIST.DOC
情報掲載日00/07/13
発見日(米国日付)00/07/08
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/21W32/Akbot!35...
10/21RDN/Generic ...
10/21RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 




VBS/CODは、VBScriptで作成されているインターネットウイルスで、Word の文書内に埋め込まれます。このウイルスは、MAPI電子メールで送信されたり、感染しているユーザがIRCチャットを利用するによって送信されたりします。このファイル名は"PORNLIST.DOC"です。

このウイルスは、コードを実行するときにWindows Scripting Hostを必要とします。

このウイルスは、次の形式の電子メールで送信されます。

Subject = 'Hey whats up, Important!'
Body = 'Hey I attatched a list for you to this e-mail take a look at it and tell me what you think.'
Attachments = 'c:\pornlist.doc'

添付ファイルは、'LIST.VBS'という名前の埋込みスクリプトを含むWord文書です。この文書は、次の内容になっています。

Double click me to view my picture
Please view my nude picture and e-mail me back if you think that I am
good enough to pose for my webpage.
email: sexygirl18@hotmail.com

<訳>
ダブルクリックして、私の写真を見てください。
私のヌード写真を見て、私のホームページに掲載してもいいと思ったら、メールを返信してください。

Email: sexygirl18@hotmail.com

ダブルクリックをうながすセンテンスの上にあるアイコンは、.GIFファイルを示していますが、埋込みオブジェクトは写真ではなく、.VBSファイルです。

ダブルクリックしてオブジェクトが起動され、WSHがインストールされると、このウイルスは分散ルーチンを起動して、ファイルをシステムに書き込み、MAPI電子メールでアドレス帳に含まれているすべての宛先に自身を送信します。また、"C:\MIRC"にあるmIRC、および"C:\PIRCH98"にあるPirch98のインストールプログラムを検索します。プログラムが見つかると、このウイルスはクライアントアプリケーションのスクリプトを修正して、IRCチャネルに参加するときに自身を分散します。

このウイルスは、次のファイル名でローカルにあるハードドライブに自身をコピーします。

[temp]\list.vbs
WINDOWS\cod.cod
WINDOWS\list.vbs

WINDOWS\winsck.vbs
WINDOWS\SYSTEM\explorer.vbs
WINDOWS\SYSTEM\list.vbs

次に、このウイルスは対応付けられているドライブをすべて検索して、PORNLIST.DOCとLIST.VBSをルートディレクトリにコピーします。

このウイルスは、MAPI電子メールルーチンを起動しますが、最初に、レジストリを調べて、次に示すキーの値をチェックします。

HKCU\Software\Microsoft\Windows\CurrentVersion
Sent? = [value]

値がヌル(NULL)の場合、このウイルスは電子メールルーチンを起動してから、この値を'1'に設定します。電子メールルーチンは、上記の形式でMAPI電子メールメッセージを送信します。また、次の形式で別の電子メールを送信します。

Recipient = 'ilikerolls@aol.com'
Subject = 'I am screwed'
Body = 'I am infected with the crayon of doom virus!'
Attachments = 'c:\pornlist.doc'

このウイルスは、レジストリと環境設定ファイルWIN.INIおよびSYSTEM.INIを修正して、Windowsの起動時に自身をロードします。

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ScanRegistry = WINDOWS\list.vbs
HKLM\Software\Microsoft\Windows\CurrentVersion\
Run = WINDOWS\SYSTEM\list.vbs
HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices = [temp]\list.vbs

* WIN.INIは、次のように修正されます。
[windows]
run = WINDOWS\winsck.vbs

* SYSTEM.INIは、次のように修正されます。
[boot]
shell = Explorer.exe explorer.vbs

このウイルスは、C:\MIRCにMIRCのインストールプログラムがあるかどうか調べます。このプログラムが見つかった場合は、スクリプトを修正して、IRCチャネルに参加したときに、それらのチャネルに"C:\PORNLIST.DOC"ファイルを分散します。また、SCRIPT.INIを修正して、次に示す種類のファイルを受信できるようにします。

*.exe,*.com,*.bat,*.dll,*.ini,*.vbs.

このウイルスは、C:\PIRCH98にPIRCH98のインストールプログラムがあるかどうか調べます。 このプログラムが見つかった場合は、スクリプトを修正して、IRCチャネルに参加したときに、それらのチャネルに'C:\PORNLIST.DOC'ファイルを分散します。

また、このウイルスには、書き込まれたファイルがすべて削除されていないことを確認するためのセルフチェックルーチンがあります。削除されているファイルがあると、再作成されます。レジストリがチェックされ、キーが削除されていないことが確認されます。

このウイルスには、コードのソースにある次のコメントラインが含まれますが、表示されることはありません。

'Crayon Of Doom Virus By crayolarx

埋込みオブジェクトが起動されると、Windowsには、次の内容のダイアログメッセージボックスが表示されます。

You are about to activate an OLE object that may contain viruses or be otherwise harmful to your computer. It is important to be ceratain that it is from a trustworthy source. Do you want to continue?
[YES] [NO]

<訳>
あなたは、ウイルスが含まれている可能性のあるOLEオブジェクトを起動しようとしています。このオブジェクトを起動すると、あなたのコンピュータは破損します。メールが信頼のある送信元から送られていることを確認することが大切です。続行しますか?
[YES] [NO]

'NO'を選択すると、スクリプトは実行されませんが、'YES'を選択すると、スクリプトが実行されます。

次のファイルが存在します。
[temp]\list.vbs
WINDOWS\cod.cod
WINDOWS\list.vbs
WINDOWS\winsck.vbs
WINDOWS\SYSTEM\explorer.vbs
WINDOWS\SYSTEM\list.vbs

電子メールの分散、およびMIRC/PIRCH98の分散は、上記のように行われます。