製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス名危険度
VBS/Cian
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		4247
対応定義ファイル
(現在必要とされるバージョン)		4339 (現在7109)
対応エンジン4.1.60以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名Excel97Macro/Cian.C:I-Worm.Thery (AVP):VBS.Cian.C (CA):VBS_CIAN.C (Trend):Word97Macro.Cian.C
情報掲載日03/02/13
発見日(米国日付)03/02/04
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
06/16VBS/LoveLett...
06/16RDN/AutoRun....
06/16RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7109
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・このウイルスはVBS/Cianとして検出され、Word文書およびExcelスプレッドシートに感染します。

・VBS/Cianは、Normalテンプレートに感染し、XLStartディレクトリに感染Personal.xlsファイルを落とし込みます。ExcelスプレッドシートおよびWord文書は相互に感染するように作成されており、感染スクリプトWinstart.vbs(VBS/Cianとして検出されます)を落とし込みます。

・感染したWord文書(W97M/Genericとして検出されます)を開くとマクロ警告機能が無効になり、Word2000のセキュリティレベルが“低”になります。また、メニュー項目の「ツール/マクロ」「ツール/ユーザー設定」「表示/ツールバー」および「書式/オブジェクト」も無効になります。さらにwindows SYSTEMディレクトリのEvade.jpgファイルにウイルスのコードをエクスポートします。この.jpgファイルはVBA/Generic.srcとして検出されます。

・次に、Outlook Addresslistにあるすべての宛先に、以下のいずれかの件名で電子メールを送信します。
件名:
●Here is that file
●Important file
●The file
●Word file
●[infected Document] name
●The file you wanted
●Here is the file

本文: The file I am sending you is confidential as well as important; so don't let anyone else have a copy.
添付ファイル: Infected document

・ウイルスを送信した宛先を次のキーに保存します。
●HKEY_CURRENT_USER\Software\Zed/[rRlf\VBS/Evade\RecordContacts

・感染したExcelスプレッドシートを開くと、セキュリティレベルを“低”にして、windows SYSTEMディレクトリのEvade.gifファイルにウイルスのコードをエクスポートします。この.gifファイルは、VBA/Generic.srcとして検出されます。また、XLStartディレクトリにPersonal.xlsとしてウイルスを保存します。この.xlsファイルはX97M/Genericとして検出されます。

・次に、Outlook Addresslistにあるすべての宛先に、以下のいずれかの件名で電子メールを送信します。
件名:
●Here is that file
●Important file
●The file
●Excel file
●[infected Spreadsheet] name
●The file you wanted
●Here is the file

本文: The file I am sending you is confidential as well as important; so don't let anyone else have a copy.
添付ファイル: Infected Spreadsheet

送信される電子メールの例:

・次のレジストリキーを改変して、Windows起動時にウイルスを実行するようにします。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Winstart="Wscript.exe [windows SYSTEM directory]\Winstart.vbs %1"

・Winstart.vbsが実行されると、ウイルスは以下の場所に自身をコピーします。
windowsディレクトリ:
●Netlnk32.vbs
●Conversation.vbe

windows SYSTEMディレクトリ:
●Winstart.vbs
●Wininst32.vbs
●Winnt32.vbs
●Winnet32.vbs

・ハードドライブおよびネットワークドライブ上でVBSファイルとVBEファイルをすべて検索し、検出されたファイル名の後ろにウイルスのコードを追加します。

・また以下のディレクトリを検索し、ピアツーピアアプリケーションを介して繁殖します。
●C:\Kazaa\My Shared Folder
●C:\My Downloads
●[Program files directory]\Kazaa\My Shared Folder
●[Program files directory]\KaZaA Lite\My Shared Folder
●[Program files directory]\Bearshare\Shared
●[Program files directory]\Edonkey2000
●[Program files directory]\Morpheus\My Shared Folder
●[Program files directory]\Grokster\My Grokster
●[Program files directory]\ICQ\Shared Files

・そして、以下の拡張子を持つすべてのファイルに感染し、拡張子“.vbs”を追加します。
●mp3
●mp2
●avi
●mpg
●mpeg
●mpe
●mov
●pdf
●doc
●xls
●mdb
●ppt
●pps

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・windows SYSTEMディレクトリに、Winstart.vbsファイルが存在します。

感染方法TOPへ戻る

・感染した文書またはスプレッドシートを開いてしまうと、ローカルシステムおよびそれ以降に開くすべての文書とスプレッドシートに感染します。

WebShield SMTP for Windows NTでのファイル・フィルタリングの使い方(WebShield for Soralisには該当しません)

  1. 環境設定コンソールで、「Content Filtering(コンテントフィルタリング)」を選択します。
  2. 「Add(追加する)」を選択します。
  3. コンテントフィルタリングルールの記述にVBSBlockといったルールを追加します。
  4. 添付ファイル名で「フィルター」を選択します。
  5. .vbsをフィルタ指定します。
  6. 「OK」を選択します。

AVERT推薦アップデート