ウイルス情報

ウイルス名

VBS/FreeLink@MM

危険度
対応定義ファイル 4035 (現在7656)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 Freelink, LINKS.VBS, VBS/Freelinks.A
発見日(米国日付) 99/07/06


新種ウイルスVBS/FreeLinkへの対応のお知らせ(99/10/5)

6月頃発見されたVBSウイルスFreeLinkにつき、米国などで被害が報告されています。なお、このウイルスは現在、日本での被害報告はありません(弊社調べ)


予防方法

下記のような内容の電子メールが届いた場合は、すぐに削除してください。添付ファイルを実行しないでください。


ウイルス情報

このVBスクリプト・ウイルスは、Eメール添付ファイルとして自己を繁殖させ、二つの一般的なIRCクライアントを起動しようとします。電子メールの"TO(宛先)"フィールドは常に空白となり、"SUBJECT(件名)"は、常に "Check this"となります。メール本文は以下のようになります。

Have fun with these links
Bye

通常、"Links.vbs"という名前で添付ファイルが付属しています。

受信者のマシンがWindows Scripting Hostをサポートしている場合(Windows 98およびWindows 2000ではデフォルトでサポートしています)、その添付ファイルをオープンすると、スクリプトが起動され、暗号化されたウイルスにより、以下の二つのVBSスクリプトファイルがシステムに落としこまれます。

%Windows%\System\Rundll.vbs
%Windows%\Links.vbs

そして以下のようなメッセージボックスが表示されます。 DesktopFREE XXX LINKS.URL
This will add a shortcut to the XXX sites on your desktop.
Do you want to continue (Yes/No)

このボックスに対し、「はい」と答えた場合、FREE XXX LINKSというショートカットがデスクトップに作成されます。このショートカットはアダルトWebサイトにリンクされています。さらにFreeLinkは、割り当てドライブすべてを検索して、Links.vbsを各ドライブのルートにコピーします(これは「はい」、「いいえ」のいずれの返事をした場合でも生じます)。他のユーザーがそのファイルを手動実行した場合のみ、そのスクリプトがさらに繁殖することが生じえます。

MS Outlook 98あるいはMS Outlook 2000が実行されていた場合、このウイルスはすべてのOutlookアドレスブック(Global、Personal、Contactsなど)のアドレス項目すべてを検索し、受信者リストを作成します。さらにウイルスが添付されたメッセージをこれらのリストに対しBCCで送信します。

二つ目のファイル、'Rundll.vbs'は、レジストリ内に以下のように登録されます。

\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Rundll

これによりWindows起動時には、このファイルが自動的に起動されます。

Rundll.vbsが実行されるとLinks.vbsが違った形で再び暗号化されます。さらにIRCクライアントソフトウエアを見つけるため、フォルダC:\MIRC, C:\Pirch98に対しMirc32.exeおよびPirch98.exeを求める検索を施します。またローカル・システムのProgram Filesフォルダに対しても同様の検索が施されます。IRCクライアントが見つかった場合は、そこにScript.iniまたはEvents.iniスクリプトが落としこまれます。IRCクライアントがこれらのスクリプトコマンドをサポートしていた場合、次回のIRCセッション中にユーザーがチャンネルに参加したタイミングで、ウイルス%Windows%\Links.vbsがDCCを介して送付されます。


検出方法

エンジンバージョン4以上の場合
エンジンバージョンv.4.0.25以降のワクチンと最新のDATファイル(4029以降)を使えば検出が可能です。

エンジンバージョンv.4.0.25以降:

  • VirusScan 3x 4.0.2b以降
  • VirusScan 9x 4.0.3以降
  • VirusScan NT 4.0.3b以降
  • Netshield NT 4.0.3b以降
  • Groupshield Exchange 4.0.3以降
  • Groupshield Notes 4.0.2以降
  • WebShield SMTP 4.0.3.1以降

  • エンジンバージョンの見分け方

    DATファイルのダウンロード

    * *: Ver3 DATでは対応していません。


    削除方法

    1. Windowsのスタートメニューで「ファイル名を指定して実行」を選択肢、regeditと入力してください。レジストリエディタが起動します。

    2. 以下のレジストリエントリ値からRundll.vbsを削除してください。

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
      \CurrentVersion\Run

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVirsion\Exploer\
      Doc FindSpace MRU

    3. \Windows\System ディレクトリ内の"RUNDLL.vbs", "LINKS.VBS"を削除してください。

    注:レジストリはシステムを制御するエリアなので、操作を誤った場合、システム動作に悪影響を与えることがあります。レジストリ修復は慎重に行っていただけるようおねがいいたします。