ウイルス情報

ウイルス名

VBS/CoolNote.worm

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4081
対応定義ファイル
(現在必要とされるバージョン)
4081 (現在7656)
対応エンジン 4.0.35以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.CoolNotepad, VBS/CoolNot.A, VBS/CoolNotepad.worm
情報掲載日 00/06/08
発見日(米国日付) 00/05/30
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


これは部分的に VBS/Loveletter.worm のコードをもとにした VBScript ウイルスです。これは以下のフォーマットの、一見して怪しい電子メールとして送られてきます。

件名 = 'Cool Notepad Demo'
本文 =
'Hey check out this text file I sent it will do something neat in notepad.'
'Enjoy :-)' Attachment = 'COOL_NOTEPAD_DEMO.TXT.vbs'

このウイルスは VBS/Loveletter コードのいくつかのサブルーチンの大部分を「カット アンド ペースト」したものです。これがアマチュアのウイルスライターが作ったウイルスだという証拠に、以下のコメントがコードの中にありますが、画面に表示されることはありません。

' COOL_NOTEPAD_DEMO VBS virus - by VxF
' This will scan as a LoveLetter Variant which it kinda is but this is
' my first VBS virus I ever made which I used to study and learn some of
' the common functions used to create viruses using VBS.
' Beginning of code

VirusScan の 4.0.70 エンジンを 4071 DAT ファイルと共に使用すると、このウイルスはヒューリスティック技術で検出され、以下のメッセージが表示されます。

'Found virus or variant New VBS !!!'

Windows\system フォルダの中に'COOL_NOTEPAD_DEMO_TXT.vbs'ファイルがあること。
電子メールでの蔓延(上記参照)。IRC での配布(上記参照)。

このウイルスは、IRC チャンネルあるいは MAPI 対応の電子メールのいずれかで送られてきます。このウイルスが実行されると、自らをローカル システムの Windows\System フォルダに"COOL_NOTEPAD_DEMO.TXT.vbs"というファイル名でコピーします。

このウイルスは、改変された以下のキーから Windows 起動時にロードするために、自らをシステム レジストリに登録します。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
COOL_NOTEPAD_DEMO=[path]COOL_NOTEPAD_DEMO.TXT.vbs

上記のキーで、'[path]'は Windows\system フォルダ名になります。

c:\mirc フォルダに'script.ini'ファイルが存在すると、IRC チャンネルへの接続時にこの VBS ウイルスを配布するために、このファイルが改変されます。

最後に、このウイルスは感染したユーザのアドレス帳に載っているすべてのエントリに自らを送信します。