ウイルス情報

ウイルス名

VBS/Fool

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4060
対応定義ファイル
(現在必要とされるバージョン)
4260 (現在7659)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 Fool, Millennium 0.4b, MyPicture.bmp.vbs, VBS/Fool.ini, VBS/Mill, VBS/mIRC
情報掲載日 00/01/17
発見日(米国日付) 99/12/27
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


これはコード化されたVBScriptファイルであり、mIRCを介して自らを配布します。そしてmIRCを媒体として、MyPicture.bmp.vbsというファイル名で送信されます。このファイルには

' Millennium 0.4b vBS/mIRC =]
'

というテキストが含まれていますが、表示されることはありません。

このウイルスは、実行すると自らを"c:\windows\system\MyPicture.bmp.vbs"、
"c:\WINDOWS\Start Menu\Programs\StartUp\RunDLL.vbs"、
"c:\My Documents\MyPicture.bmp.vbs"、"c:\MyPicture.bmp.vbs"
にコピーし、*.VBSファイルを"C:\"、"c:\My Documents"、"c:\Windows"、
"c:\windows\samples\wsh"に上書きします。その後、"c:\mirc\script.ini"と
"c:\mirc\mirc.ini"を上書きします。
そして"c:\windows\system\MyPicture.bmp.vbs"の中のウイルスのコピーをロードするよう
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\WinLoad"を設定します。それから以下のテキストを含む"
c:\Millennium.NFO"というファイルを作成します。

"Millennium 0.4b - mIRC/vBS")
"Fear the Millennium"

この後"short.src"ファイルの中にデバッグスクリプト、"Fix.hex"というテキストを含む"fix.txt" ファイル、"LCODER.EXE"および"FIX.EXE"というファイルをそれぞれ含む"LCODER.HEX"、"FIX.HEX"というファイル(バイナリからASCIIに変換する方法を使ってコード化されています)、"fix.bat"ファイルを作成します。作成後、"fix.bat"が起動します。Fix.batはDOSの標準的な部分である"debug.exe"の中のデバッグスクリプト"short.src"を起動させます。これがshort.comというファイルを作成します。この後short.comプログラムが起動し、lcoder.hexをlcoder.exeの中にデコードします。lcoder.exeはファイルをシステム上でやりとりできるように、バイナリからASCIIにコード化およびデコードするための、害のないプログラムです。その後lcoder.exeが起動し、fix.hexからfix.exeを作成します。Fix.txtはlcoder.exeに、デコードされるファイルの名前を付けるためのものです。

Fix.exeにはBackDoor-AB (別名"The tHing")リモートアクセス型トロイの木馬の亜種が含まれています。
そしてfix.exeが起動し、システムにBackDoor-ABをインストールします。BackDoor-ABは非常に小さいトロイの木馬であり、以下のことをおこないます。

  • BackDoor-ABがインストールされると、ICQでユーザに通知する
  • 不正侵入者に、犠牲となったWindowsディレクトリを通知する
  • ファイルのアップロード
  • 犠牲となったコンピュータにファイルをドロップ(作成)する(起動する)
  • 犠牲となったコンピュータを再起動する
この一連の機能は、不正侵入者が、さらに大きいbackdoorを、気づかれないようにインストールできるように設計されたものであると思われます。この後、fix.batがshort.com、short.src、lcoder.exe、lcoder.hex、fix.hex、fix.txt、fix.batを削除します。

script.iniファイルは、他のユーザがチャンネルに参加すると同時にウイルスをそのユーザに送信し、彼らがIRCに接続すると、IRCサーバ、IPアドレス、オペレーティング システム、時間、日付、前回の再起動からの時間を含むメッセージを#xmasdayというチャンネルに送信します。mIRCスクリプトには次のテキストが含まれていますが、表示はされません。
";mIRC Protection Script DO NOT EDIT!"
";By Khaled Mardem-Bey"
"; www.mirc.com"
感染したユーザがIRCのNicknameを変更すると、IRCがチャンネル"#xmasday"に"OldNick was [IRCユーザのニックネーム]"というメッセージを送信します。
感染したユーザが"millennium"というテキストを含む通知を受け取ると、IRCがチャンネル"#xmasday"に"[現在の時刻] [ユーザのニックネーム] Killed me, closing mIRC... *I Am Gone*"というメッセージを送信し、mIRCを終了させます。
感染したユーザがIRCを終了させると、IRCがチャンネル"#xmasday"に"[ユーザのニックネーム] stating [IRCを終了した任意の理由]" というメッセージを送信します。

日にちが12月31日である場合、次の発病が実行されます。

以下のメッセージボックスが表示されます。
"The End"
"Happy New Year!"

その後、レジストリキーを次のように改変することにより、そのコンピュータに登録されているユーザ名、会社名、製品名が次のよう改変されます。
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RegisteredOwner" を"Millennium 0.4b"に、
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RegisteredOrganization"を"uNF"に、 "HKEY_LOCAL_MACHINE\Software
\Microsoft\Windows\CurrentVersion\ProductName"を"Winblows 2000"に。

そして"c:\autoexec.bat"ファイルを上書きして、次の指示を追加します。

"@Echo off"
"Echo Your Computer is NOT Y2K Complient!"
"Echo Sorry For this Inconvenience"
"pause"
"echo Millennium 0.4b"
"pause"