ウイルス情報ウイルス情報| 種別 | ウイルス | | ファイルサイズ | 低 | 最小定義ファイル
(最初に検出を確認したバージョン) | 4060 | 対応定義ファイル
(現在必要とされるバージョン) | 4260 (現在7084) | | 対応エンジン | 4.0.25以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | Fool, Millennium 0.4b, MyPicture.bmp.vbs, VBS/Fool.ini, VBS/Mill, VBS/mIRC | | 情報掲載日 | 00/01/17 | | 発見日(米国日付) | 99/12/27 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
これはコード化されたVBScriptファイルであり、mIRCを介して自らを配布します。そしてmIRCを媒体として、MyPicture.bmp.vbsというファイル名で送信されます。このファイルには
' Millennium 0.4b vBS/mIRC =]
'
というテキストが含まれていますが、表示されることはありません。
このウイルスは、実行すると自らを"c:\windows\system\MyPicture.bmp.vbs"、
"c:\WINDOWS\Start Menu\Programs\StartUp\RunDLL.vbs"、
"c:\My Documents\MyPicture.bmp.vbs"、"c:\MyPicture.bmp.vbs"
にコピーし、*.VBSファイルを"C:\"、"c:\My Documents"、"c:\Windows"、
"c:\windows\samples\wsh"に上書きします。その後、"c:\mirc\script.ini"と
"c:\mirc\mirc.ini"を上書きします。
そして"c:\windows\system\MyPicture.bmp.vbs"の中のウイルスのコピーをロードするよう
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\WinLoad"を設定します。それから以下のテキストを含む"
c:\Millennium.NFO"というファイルを作成します。
"Millennium 0.4b - mIRC/vBS")
"Fear the Millennium"
この後"short.src"ファイルの中にデバッグスクリプト、"Fix.hex"というテキストを含む"fix.txt" ファイル、"LCODER.EXE"および"FIX.EXE"というファイルをそれぞれ含む"LCODER.HEX"、"FIX.HEX"というファイル(バイナリからASCIIに変換する方法を使ってコード化されています)、"fix.bat"ファイルを作成します。作成後、"fix.bat"が起動します。Fix.batはDOSの標準的な部分である"debug.exe"の中のデバッグスクリプト"short.src"を起動させます。これがshort.comというファイルを作成します。この後short.comプログラムが起動し、lcoder.hexをlcoder.exeの中にデコードします。lcoder.exeはファイルをシステム上でやりとりできるように、バイナリからASCIIにコード化およびデコードするための、害のないプログラムです。その後lcoder.exeが起動し、fix.hexからfix.exeを作成します。Fix.txtはlcoder.exeに、デコードされるファイルの名前を付けるためのものです。
Fix.exeにはBackDoor-AB (別名"The tHing")リモートアクセス型トロイの木馬の亜種が含まれています。
そしてfix.exeが起動し、システムにBackDoor-ABをインストールします。BackDoor-ABは非常に小さいトロイの木馬であり、以下のことをおこないます。
- BackDoor-ABがインストールされると、ICQでユーザに通知する
- 不正侵入者に、犠牲となったWindowsディレクトリを通知する
- ファイルのアップロード
- 犠牲となったコンピュータにファイルをドロップ(作成)する(起動する)
- 犠牲となったコンピュータを再起動する
この一連の機能は、不正侵入者が、さらに大きいbackdoorを、気づかれないようにインストールできるように設計されたものであると思われます。この後、fix.batがshort.com、short.src、lcoder.exe、lcoder.hex、fix.hex、fix.txt、fix.batを削除します。
script.iniファイルは、他のユーザがチャンネルに参加すると同時にウイルスをそのユーザに送信し、彼らがIRCに接続すると、IRCサーバ、IPアドレス、オペレーティング システム、時間、日付、前回の再起動からの時間を含むメッセージを#xmasdayというチャンネルに送信します。mIRCスクリプトには次のテキストが含まれていますが、表示はされません。
";mIRC Protection Script DO NOT EDIT!"
";By Khaled Mardem-Bey"
"; www.mirc.com"
感染したユーザがIRCのNicknameを変更すると、IRCがチャンネル"#xmasday"に"OldNick was [IRCユーザのニックネーム]"というメッセージを送信します。
感染したユーザが"millennium"というテキストを含む通知を受け取ると、IRCがチャンネル"#xmasday"に"[現在の時刻] [ユーザのニックネーム] Killed me, closing mIRC... *I Am Gone*"というメッセージを送信し、mIRCを終了させます。
感染したユーザがIRCを終了させると、IRCがチャンネル"#xmasday"に"[ユーザのニックネーム] stating [IRCを終了した任意の理由]" というメッセージを送信します。
日にちが12月31日である場合、次の発病が実行されます。
以下のメッセージボックスが表示されます。
"The End"
"Happy New Year!"
その後、レジストリキーを次のように改変することにより、そのコンピュータに登録されているユーザ名、会社名、製品名が次のよう改変されます。
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RegisteredOwner" を"Millennium 0.4b"に、
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RegisteredOrganization"を"uNF"に、 "HKEY_LOCAL_MACHINE\Software
\Microsoft\Windows\CurrentVersion\ProductName"を"Winblows 2000"に。
そして"c:\autoexec.bat"ファイルを上書きして、次の指示を追加します。
"@Echo off"
"Echo Your Computer is NOT Y2K Complient!"
"Echo Sorry For this Inconvenience"
"pause"
"echo Millennium 0.4b"
"pause"
