製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス情報

ウイルス名
W95/Firkin.worm
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4071
対応定義ファイル
(現在必要とされるバージョン)
4241 (現在7578)
対応エンジン4.0.35以降 (現在5600) 
エンジンバージョンの見分け方
別名911_Share_Virus, Bat/911, Bat/Chode.worm, Chode.worm, Foreskin
情報掲載日00/04/04
発見日(米国日付)00/03/22
駆除補足検出されたウイルスバッチファイルは削除してくださいウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/30RDN/Generic ...
09/30RDN/Spybot.b...
09/30RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7578
 エンジン:5600
 
ウイルス検索
 




このウイルスは2000/4/1にFBIのNIPCグループにより警告されたものと同一ウイルスです。Webサイト

このウイルスは、ashield.pif とmstum.pif files をwindows\startm~1\programs\startup にコピーします。それら2ファイルが次回マシン起動時に発動すると、ウイルスも発動します。

ユーザーは、VBScript ファイルを作動させる必要はありません。さもないと感染を告げるEメールメッセージを読むことになります。このウイルスはオープン・ネットワーク共有を介して繁殖します。

ashield.pif はhide.batを起動します。このバッチファイルは、ashield.exeを使ってウインドウを非表示にし、ウイルス・プロセスが表示されないようにします。

mstum.pifはmstum.batを起動します。このバッチファイルはバックグラウンドで作動するウイルス本体です。

mstum.batは、10分の休止間隔を置いた後、final.batを実行します。これによりスキャンするサブネットがランダムに選択されます。

バッチファイル群、A.BAT, B.BAT, C.BAT, D.BAT, E.BAT, F.BAT, G.BAT, H.BAT, I.BAT, J.BAT にはインターネットの相異なる部分をスキャンするためのコードが含まれています。これらバッチファイルのうちどれか一つをランダムに選択し、さらにMSTUM.BATを選択したファイルと置き換えます。これにより、バッチファイルはスキャンするサブネットをランダムに選択することになります。

  • A.BAT → 206
  • B.BAT → 209
  • C.BAT → 200
  • D.BAT → 199
  • E.BAT → 216
  • F.BAT → 208
  • G.BAT → 165
  • H.BAT → 205
  • I.BAT → 171
  • J.BAT → 12.73
さらにMSTUM.BATからADD.BATが呼び出されます。このバッチにはサブネットのIPアドレスを渡り歩くルーチンが含まれています。またADD.BATはCHAOS.BATの呼び出しも試みます。

スキャンの際に、PINGとWindows NetBIOSを使って"C"という名のオープン共有を検索します。これはユーザーがローカルネットワークとの共有を計って設定した共有ドライブに当りますが、不適切なことに、全インターネットの中でも共有されてしまいます。さらにそのリモートドライブを"J:"としてマップしようとします。

さらに以前の自分自身のインスタンスを削除しようとします。これはVBS/Netlogと同じです。

一つのテストとして、それはリモートドライブのルートディレクトリ"zx"を作成します。そしてそれが成功するかどうかを確認します。もし成功した場合は、c:\progra~1\foreskin\ の名かのすべてのウイルスファイルをj:\progra~1\foreskin にコピーします。

さらに、リモートマシンのC:\AUTOEXEC.BATに、SLAM.BATを、乱数に基づいて、追加します。リモートマシンの次回起動時には、改変されたAUTOEXEC.BATにより、以下のいずれかの動作が、ランダムに行われます。1): モデムを使って911番(米国の救急車呼び出し番号)に電話をかける。2):ハードドライブのすべてをh:-C:からフォーマットし、さらに"You have been sLamMeD By fOREsKIN mOThERfUCKER" というメッセージを表示する。

さらにashield.pifをコピーし、mstum.pifファイルをディレクトリj:\windows\startm~1\programs\startup\ashield.pif にコピーします。

J:は、すなわちウイルスがマップしたリモートCドライブに相当します。J:が実際にはC:を意味するため、このウイルスは、感染マシンの起動時に制御を握ることが可能になります。

さらに以下のテキストをc:\PROGRA~1\foreskin\cool.txtに書きます。これは感染ログと見なされます。

[Remote IP address] was sucessfully infected with foreskin

Final.batには以下のコメントが含まれています。

REM fOREsKIN sElf rEPlIcAToR vERSION 1.07c final CHAoS (C) 2000 EMD LABS INC
REM rAndOm dEvIStAtOr
REM nOt pErFECt, bUt iT sERvES iTS pUrPosE....bAtCh fIlE pROgRAMmINg
REM sInCe tHis vIrUs uSeS aN .eXe fILe iT cAn pOtEnTiAllY sPReAD otHeR vIRuSeS oThER tHAn iTsElF...cOoL!!!
REM wAs nOt cREaTED bY tHE sAMe pERsON tHAT wROtE tHe nETwORk.vBs sHIt
REM iT wAs jUsT iN mY wAy