ウイルス情報

ウイルス名 危険度

VBS/Doli.worm

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
5113
対応定義ファイル
(現在必要とされるバージョン)
5171 (現在7628)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2007/11/27
発見日(米国日付) 2007/09/05
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・VBS/Doli.wormはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

TOPへ戻る

ウイルスの特徴

ファイル

・以下のファイルをドロップ(作成)します。

%Sysdir%\winini.vbs
%Sysdir%\snd44.gif
%Sysdir%\user44.ico
%Sysdir%\VbScr.xml

・さらに、以下の名前で自身をコピーします。

%Sysdir%\www.MacDonald.com-index.htm
%UserProfile%\Local Settings\Temporary Internet Files\www.MacDonald.com-index.htm
%UserProfile%\Local Settings\Application Data\Microsoft\CD Burning\www.MacDonald.com-index.htm
%UserProfile%\Favorites\www.MacDonald.com-index.htm
%UserProfile%\Local Settings\History\www.MacDonald.com-index.htm
%UserProfile%\My Documents\My Music\www.MacDonald.com-index.htm
%UserProfile%\My Documents\My Pictures\www.MacDonald.com-index.htm
%UserProfile%\My Documents\www.MacDonald.com-index.htm
%UserProfile%\Start Menu\Programs\www.MacDonald.com-index.htm
%UserProfile%\Start Menu\www.MacDonald.com-index.htm

・また、以下の場所に自身をコピーする可能性があります。

%UserProfile%\Desktop\e-mail from#Sarah_icqGroup@yahoo.fr.htm
%UserProfile%\Desktop\e-mail from#imen_nannou@yahoo.fr.htm
%UserProfile%\Desktop\e-mail from#ahlem_3ishk@yahoo.fr.htm
%UserProfile%\Desktop\e-mail from#amina_kissme@yahoo.fr.htm
%UserProfile%\Desktop\e-mail from#amel_sousse@yahoo.fr.htm
%UserProfile%\Desktop\e-mail from#sana_hammamet@yahoo.fr.htm
%UserProfile%\Desktop\e-mail from#molka_nabeul@yahoo.fr.htm
%UserProfile%\Desktop\e-mail from#noura_sfax@yahoo.fr.htm
%UserProfile%\Desktop\e-mail from#amani_staracademy@yahoo.fr.htm
%UserProfile%\Desktop\e-mail from#sandra_algerie@yahoo.fr.htm
%UserProfile%\Desktop\e-mail from#madiha_ariana@yahoo.fr.htm
%UserProfile%\Desktop\e-mail from#sonia_malhat_manar2@yahoo.fr.htm

・さらに、VBS/Doli.wormの実行回数が8回になると、自身を99回コピーします。

%UserProfile%Desktop\message_sandwich{random number}.htm

・www.MacDonald.com-index.htmというファイル名を使って、A:\ドライブを除く、見つかったすべての固定ドライブ、リムーバブルドライブ、ネットワークドライブのルートに自身のコピーを作成します。

・ドライブのサブフォルダに以下の拡張子を持つファイルが存在する場合、{ファイル名}.{拡張子}.vbsという名前で自身をコピーする可能性があります。

*.mp3
*.mpg
*.doc
*.xls
*.jpg
(決定はランダムに行われます。)

・固定ドライブ、リムーバブルドライブ、ネットワークドライブのサブフォルダで見つかったすべての.htm、.htmlファイルに感染します。

レジストリ
  • スクリプトの実行回数をカウントするため、以下のレジストリ項目を改変します。

HKEY_LOCAL_MACHINE\"shell" = "{カウンタ}"

  • 以下のレジストリ項目を作成し、起動時またはInternet Explorerの実行時にVBS/Doli.wormが実行されるようにします。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\"Start Page" = "%Sysdir%\www.MacDonald.com-index.htm"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Winini.dll" = "C:\WINDOWS\system32\winini.vbs"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Winini.dll" = "C:\WINDOWS\system32\winini.vbs"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SaMail" = "%UserProfile%\Desktop\e-mail from#Sarah_icqGroup@yahoo.fr.htm" (ファイル名は変更される可能性があります。他の可能性は上記のとおりです。)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SaMail" = "%UserProfile%\Desktop\e-mail from#Sarah_icqGroup@yahoo.fr.htm" (ファイル名は変更される可能性があります。他の可能性は上記のとおりです。)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"kernel44.dll" = "taskkill /f /fi "PID ge 0" /im *"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"kernel44.dll" = "taskkill /f /fi "PID ge 0" /im *"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "taskkill /f /fi "PID ge 0" /im *"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys1" = "freecell"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys2" = "freecell"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys3" = "freecell"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys4" = "freecell"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys5" = "freecell"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys6" = "freecell"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys7" = "freecell"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys8" = "freecell"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys9" = "freecell"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys10" = "freecell"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys11" = "freecell"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys12" = "freecell"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys1" = "freecell"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys2" = "freecell"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys3" = "freecell"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys4" = "freecell"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys5" = "freecell"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys6" = "freecell"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys7" = "freecell"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys8" = "freecell"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys9" = "freecell"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys10" = "freecell"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys11" = "freecell"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys12" = "freecell"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys33" = "winmine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys34" = "winmine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys35" = "winmine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys36" = "winmine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys37" = "winmine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys38" = "winmine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys39" = "winmine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys40" = "winmine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys41" = "winmine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys42" = "winmine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys43" = "winmine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys44" = "winmine"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys33" = "winmine"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys34" = "winmine"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys35" = "winmine"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys36" = "winmine"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys37" = "winmine"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys38" = "winmine"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys39" = "winmine"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys40" = "winmine"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys41" = "winmine"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys42" = "winmine"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys43" = "winmine"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys44" = "winmine"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys65" = "iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys66" = "iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys67" = "iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys68" = "iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys69" = "iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys70" = "iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys71" = "iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys72" = "iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys73" = "iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys74" = "iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys75" = "iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys76" = "iexplore"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys65" = "iexplore"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys66" = "iexplore"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys67" = "iexplore"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys68" = "iexplore"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys69" = "iexplore"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys70" = "iexplore"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys71" = "iexplore"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys72" = "iexplore"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys73" = "iexplore"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys74" = "iexplore"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys75" = "iexplore"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"l44sys76" = "iexplore"

  • 実行回数が6回になると、以下のサブキーを作成します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\LIDO44.FILE

  • さらに、以下のレジストリ項目を改変します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.3gp\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ace\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.avi\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bmp\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.cpp\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.css\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.dat\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.dll\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.doc\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.frm\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.hlp\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.htm\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.html\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.inf\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ini\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.iso\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpeg\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpg\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.js\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mdb\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mov\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mp2\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mp3\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mpeg\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mpg\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.msg\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ocx\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.pdf\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ppt\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.rar\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.swf\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.tar\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.txt\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.wav\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.xls\"" = "LIDO44.FILE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.zip\"" = "LIDO44.FILE"
HKEY_CURRENT_USER\Control Panel\International\"sTimeFormat" = "LIDO44 @ NO TIME !!!"
HKEY_USERS\.DEFAULT\Control Panel\International\"sTimeFormat" = "LIDO44 @ NO TIME !!!"
HKEY_CURRENT_USER\Console\"FullScreen" = "1"
HKEY_CURRENT_USER\Console\"ScreenColors" = "4"

  • また、タスクマネージャを無効にします。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = "1"

  • 最後に、実行回数が8回になると、以下のレジストリ項目を改変します。

HKEY_CURRENT_USER\Control Panel\Mouse\"SwapMouseButtons" = "1"
HKEY_USERS\.DEFAULT\Control Panel\Mouse\"SwapMouseButtons" = "1"
HKEY_CURRENT_USER\Control Panel\Colors\"Background" = "200 100 100"
HKEY_CURRENT_USER\Control Panel\Desktop\"Wallpaper" = "C:\WINDOWS\system32\snd44.gif"
HKEY_CURRENT_USER\Control Panel\Desktop\"OriginalWallpaper" = "C:\WINDOWS\system32\snd44.gif"
HKEY_CURRENT_USER\Control Panel\Desktop\"WallpaperStyle" = "2"
HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics\"Shell Icon Size" = "72"

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルおよびレジストリ項目が存在します。
  • .html、.htmファイルのサイズが増えます。
  • システムトレイに以下の通知が表示される場合があります。

  • ホームページが変更され、Internet Explorerが開かれると、以下のWebページが表示されます。

TOPへ戻る

感染方法

・VBS/Doli.wormは感染した.htmlページを介して乗っ取ったコンピュータに届く可能性があります。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る