ウイルス情報

ウイルス名

W95/Firkin.worm

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4071
対応定義ファイル
(現在必要とされるバージョン)
4241 (現在7656)
対応エンジン 4.0.35以降 (現在5600) 
エンジンバージョンの見分け方
別名 911_Share_Virus, Bat/911, Bat/Chode.worm, Chode.worm, Foreskin
情報掲載日 00/04/04
発見日(米国日付) 00/03/22
駆除補足 検出されたウイルスバッチファイルは削除してくださいウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


このウイルスは2000/4/1にFBIのNIPCグループにより警告されたものと同一ウイルスです。Webサイト

このウイルスは、ashield.pif とmstum.pif files をwindows\startm~1\programs\startup にコピーします。それら2ファイルが次回マシン起動時に発動すると、ウイルスも発動します。

ユーザーは、VBScript ファイルを作動させる必要はありません。さもないと感染を告げるEメールメッセージを読むことになります。このウイルスはオープン・ネットワーク共有を介して繁殖します。

ashield.pif はhide.batを起動します。このバッチファイルは、ashield.exeを使ってウインドウを非表示にし、ウイルス・プロセスが表示されないようにします。

mstum.pifはmstum.batを起動します。このバッチファイルはバックグラウンドで作動するウイルス本体です。

mstum.batは、10分の休止間隔を置いた後、final.batを実行します。これによりスキャンするサブネットがランダムに選択されます。

バッチファイル群、A.BAT, B.BAT, C.BAT, D.BAT, E.BAT, F.BAT, G.BAT, H.BAT, I.BAT, J.BAT にはインターネットの相異なる部分をスキャンするためのコードが含まれています。これらバッチファイルのうちどれか一つをランダムに選択し、さらにMSTUM.BATを選択したファイルと置き換えます。これにより、バッチファイルはスキャンするサブネットをランダムに選択することになります。

  • A.BAT → 206
  • B.BAT → 209
  • C.BAT → 200
  • D.BAT → 199
  • E.BAT → 216
  • F.BAT → 208
  • G.BAT → 165
  • H.BAT → 205
  • I.BAT → 171
  • J.BAT → 12.73
さらにMSTUM.BATからADD.BATが呼び出されます。このバッチにはサブネットのIPアドレスを渡り歩くルーチンが含まれています。またADD.BATはCHAOS.BATの呼び出しも試みます。

スキャンの際に、PINGとWindows NetBIOSを使って"C"という名のオープン共有を検索します。これはユーザーがローカルネットワークとの共有を計って設定した共有ドライブに当りますが、不適切なことに、全インターネットの中でも共有されてしまいます。さらにそのリモートドライブを"J:"としてマップしようとします。

さらに以前の自分自身のインスタンスを削除しようとします。これはVBS/Netlogと同じです。

一つのテストとして、それはリモートドライブのルートディレクトリ"zx"を作成します。そしてそれが成功するかどうかを確認します。もし成功した場合は、c:\progra~1\foreskin\ の名かのすべてのウイルスファイルをj:\progra~1\foreskin にコピーします。

さらに、リモートマシンのC:\AUTOEXEC.BATに、SLAM.BATを、乱数に基づいて、追加します。リモートマシンの次回起動時には、改変されたAUTOEXEC.BATにより、以下のいずれかの動作が、ランダムに行われます。1): モデムを使って911番(米国の救急車呼び出し番号)に電話をかける。2):ハードドライブのすべてをh:-C:からフォーマットし、さらに"You have been sLamMeD By fOREsKIN mOThERfUCKER" というメッセージを表示する。

さらにashield.pifをコピーし、mstum.pifファイルをディレクトリj:\windows\startm~1\programs\startup\ashield.pif にコピーします。

J:は、すなわちウイルスがマップしたリモートCドライブに相当します。J:が実際にはC:を意味するため、このウイルスは、感染マシンの起動時に制御を握ることが可能になります。

さらに以下のテキストをc:\PROGRA~1\foreskin\cool.txtに書きます。これは感染ログと見なされます。

[Remote IP address] was sucessfully infected with foreskin

Final.batには以下のコメントが含まれています。

REM fOREsKIN sElf rEPlIcAToR vERSION 1.07c final CHAoS (C) 2000 EMD LABS INC
REM rAndOm dEvIStAtOr
REM nOt pErFECt, bUt iT sERvES iTS pUrPosE....bAtCh fIlE pROgRAMmINg
REM sInCe tHis vIrUs uSeS aN .eXe fILe iT cAn pOtEnTiAllY sPReAD otHeR vIRuSeS oThER tHAn iTsElF...cOoL!!!
REM wAs nOt cREaTED bY tHE sAMe pERsON tHAT wROtE tHe nETwORk.vBs sHIt
REM iT wAs jUsT iN mY wAy