ウイルス情報

ウイルス名

W32/Crackly@MM

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4151
対応定義ファイル
(現在必要とされるバージョン)
4281 (現在7628)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Parrot, W32/Parrot@MM
情報掲載日 01/08/02
発見日(米国日付) 01/07/26
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

・W32/Crackly@MMは、コンパニオン型ウイルスとしても、メール大量送信型mIRCウイルスとしても動作します。

・このウイルスは、.MP3ファイルを作成して、WINDOWSディレクトリ内で.EXEファイルが実行されるたびに、作成した.MP3ファイルを再生します。

・このウイルスは、次のような電子メールで配信されることがあります。

件名Parrot screensaver
本文Hehe hey, look at this screensaver :)
添付ファイルPARROT.SCR

・PARROT.SCRが実行されると、このウイルスは次のファイルを作成します。

C:\PARROT.SCR(ウイルスのコピー)

%WinDir%\PARROT.MP3(オーディオ ファイル)
"Hi there, I'm Parrot, the talking virus, written by Jigabyte."

%WinDir%\HELLO.MP3(オーディオ ファイル:一部修正しています)
"You'd better not f!@# on the table Graham Cluley, you son of a bitch. I don't even know the lady and she calls me a son of a bitch! Later, I go to eat at a bigga restaurant. The waitress brings me a spoon and a knife, but no fork. I tell her, I wanna the fork. The tella me everyone wanna f!@#. I tell her you no understand, I wanna fork on the table. She say you better no f!@# on the table, you son of a bitch. I don't even know the lady and she calla me a son of a bitch. I - don't - need - this"

%WinDir%\WINSTART.BAT(次の文字が含まれます)
@cls
@echo You're infected with Parrot, the talking virus,
@echo by Gigabyte/Metaphase

%WinDir%\MSG.VBS("VBScript: Parrot"というメッセージ ボックスが現れ、次のメッセージが表示されます)
"You'd better not f!@# on the table Graham Cluley, you son of a bitch. I don't even know the lady and she calls me a son of a bitch!

Later, I go to eat at a bigga restaurant. The waitress brings me a spoon and a knife, but no fork. I tell her, I wanna the fork. The tella me everyone wanna f!@#. I tell her you no understand, I wanna fork on the table. She say you better no f!@# on the table, you son of a bitch. I don't even know the lady and she calla me a son of a bitch. I DON'T NEED THIS SH@#!"

・このウイルスは、WINDOWSディレクトリにあるすべての.EXEファイル(ただし、EXPLORER.EXE、PTSNOOP.EXE、RUNDLL.EXE、TASKMON.EXE、およびWSCRIPT.EXEは除く)の拡張子を.PRTに変えて、元のファイルに自身をコピーします(たとえば、NOTEPAD.EXEをNOTEPAD.PRTに改変し、ウイルス自身をNOTEPAD.EXEにコピーします)。

・ウイルスに感染した.EXEファイルが実行されると、PARROT.MP3ファイルが再生され、感染.EXEファイルと同じ名前の.PRTファイルがHOST.EXEにコピーされて、実行されます。

・このHOST.EXEファイルは、いったんアプリケーションが終了すると削除されます。このため、一度に実行できるWINDOWSディレクトリ内の.EXEファイルは、1つだけです。

・C:\MIRC\SCRIPT.INIファイルが作成され、IRCメッセージが配信されたときに、C:\WINDOWS\PARROT.SCRをIRCユーザに配信する命令で上書きされます。ただし、このパスは正しくないので、ウイルスはIRCを通して繁殖しません。

・Windowsが起動されるたびにオーディオ ファイルが読み込まれ、次回Windowsが起動したときに、メッセージ ボックスが表示されるように、次のレジストリ キーが作成されます。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\(Default)=hello.mp3

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunOnce\(Default)=msg.vbs

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

TOPへ戻る