ウイルス情報

ウイルス名 危険度

VBS/Grimgram@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4255
対応定義ファイル
(現在必要とされるバージョン)
4250 (現在7634)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 VBS.DLetter@mm (Symantec): VBS/DeathLetter
情報掲載日 03/02/24
発見日(米国日付) 03/02/19
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・VBS/Grimgram@MMは大量メール送信、KaZaaおよびInternet Relay Chat(IRC)を介して繁殖するワームです。

・VBS/Grimgram@MMは、以下のような電子メールメッセージで届きます。

件名: Mail Delivery Return System
本文: El Mensage que envio no pudo ser entregado a uno o mas destinatarios
添付ファイル: MailFile.mht
または
件名: Invitacion
本文: Lo invitamos a visitar nuestro nuevo sitio FTP, donde podra acceder a una gran cantidad de contenidos y archivos. Un Servicio de FreeServer, para entrar pulse sobre el enlace enviado.
添付ファイル: www.ftpfree.mht
または
件名: Microsoft Internet Explorer
本文: Microsoft advierte de una nueva vulnerabilidad en el navegador Internet Explorer 5.X y 6.X, que podria, hacer que un atacante, tomara el control de una pc afectada, muy facilmente, se ruega leer el boletin adjunto y descargar el parche para solucionar este problema. Att. Microsoft Corporation.
添付ファイル: Microsoft Bulletin 207.mht
または
件名: Models
本文: Models a renovado su site, y lo(a) invita a visitar la coleccion de fotograf}s de las(o) modelos y artistas mas conocidos. Pulse sobre el enlace enviado para entrar.
添付ファイル: www.Models.mht
または
件名: Games OnLine
本文: Visita nuestro nuevo site, donde podras descargar gran cantidad de juegos, o entrar a nuestras salas de multijugadores online, la seccion de juegos 3D esta recomendada. Pulsa el enlace enviado para entrar.
添付ファイル: www.gmol.mht
または
件名: Buscas Amistad o Amor?
本文: Quieres conocer amigas y amigos o buscas pareja? Visita nuestro site y conoce a gente como t・Pulsa el enlace enviado para entrar.
添付ファイル: www.rdA.mht
または
件名: Adivinanzas y Trivias
本文: Te gustan las trivias, leyendas, anecdotas, refranes, chistes, test y adivinanzas. Entonces visita nuestra page y mira los que te enviamos. Pulsa el enlace enviado para entrar.
添付ファイル: Trivia.mht
または
件名: Te Estan Espiando?
本文: Esta proliferando el Spyware(Software Espia), que instalan programas como Kazaa, Grokster, entre otros. El Spyware informa a los servidores del programa que lo instalo, sobre las paginas que visitas y demas habitos de navegacion, con los cuales ellos elaboran perfiles comerciales de usuario Y a diferencia de los troyanos, son legales ya que al instalar estas aplicaciones nos aparece un contrato en ingles(que la mayoria no leemos), y al aceptar estamos permitiendo esto, por lo que muchos antivirus no los detectan, y lo peor es que si le sacamos el Spyware, muchos de estos programas dejan de funcionar, Esto es una burla para nosotros los usarios. Prueba la herramienta AntiSpyware Ad-aware(gratuita), que puedes obtenerla en http://www.lavasoft.de ,una de las mejores que he encontrado. Gracias por darte tiempo para leer esto, no dejemos que esto continue.
添付ファイル: NoHabrasEsto.mht
または
件名: Series, Peliculas, Telenovelas
本文: Quieres descargar alguna pelicula, capitulos de una serie o novela o encontrar resumenes, adelantos y fotos, o tal vez saber mas de sus protagonistas? Entonces busca en nuestra base de datos, pulsa el enlace enviado para entrar.
添付ファイル: EnterTvRed.mht
または
件名: Confirmacion de Suscripcin
本文: Su direccion de correo electronico, fue dada de alta para recibir nuestro boletin, para confirmar que fue usted el que ingreso su direccion o darse de baja, escriba al email que aparece al final del boletin. Att.
添付ファイル: Boletin N.205.mht

・添付ファイルはHTML文書で、暗号化されたVBScriptを含んでいます。このスクリプトが実行されると、添付ファイルの拡張子が“MHT”であることを確認し、ルートディレクトリに自身のコピー(拡張子は“HTA”)を作成します。

・Windowsの言語に“es”が含まれる場合(例:“Portuguese”)は、次の偽のエラーメッセージを表示します。

Error
Esta Pagina Requiere Controles ActiveX para ser mostrada en su totalidad
Presione Actualizar y Acepte

・その他すべての言語では、次の偽のエラーメッセージを表示します。

Error
This Paginates it Requires Controls ActiveX to be shown in their entirety
Press to Upgrade and Accept

・SYSTEM (%SysDir%)ディレクトリにDeathLetter.vbeというファイル名でスクリプトのコピーを保存し、次のレジストリ実行キーを作成して起動時にこのファイルを読み込みます。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\

  • DeathLetter = "C:\WINDOWS\System\DeathLetter.vbe"

    ・ワームはSysDir%ディレクトリに、Letter_of_the_Death.mhtおよびComoHackearUnMail.mhtというファイル名で自身をコピーします。スクリプトがターゲットシステムに存在し、起動時にDeathLetter.vbeファイルが実行されるのを待機します。

    電子メールを介した繁殖

    ・システムの再起動時にDeathLetter.vbeファイルが実行され、OutlookのコンタクトフォルダおよびローカルシステムのHTM文書とHTML文書 内の電子メールアドレスを以下のレジストリに格納します。

  • HKEY_CURRENT_USER\Software\Gedzac Labs\VBS.OM\

  • Mail %EMAIL_ADDRESS% = "Dmail"
  • HKEY_CURRENT_USER\Software\Gedzac Labs\VBS.XM\

  • Mail %EMAIL_ADDRESS% = "Dmail"

    ・OUTLOOKおよびMAPIを使用して、格納したアドレスに上記の電子メールメッセージと自身を送信します。また、sachiel2015@latinmail.comに“VBS/DeathLetter Reportandose”という件名の電子メールも送信します。この電子メールの本文には、感染システム情報(product name、registered organizationおよびregistered owner)が含まれています。

    KaZaaを介した繁殖

    SYSTEM (%SysDir%)ディレクトリにGEDZAC_LABS(P2P)フォルダを作成し、以下のファイル名でワームのコピーを大量に作成します。

  • Ana Kournikova Sex Video.mht
  • AVP Antivirus Pro Key Crack.mht
  • Britney Spears Sex Video.mht
  • Buffy Vampire Slayer Movie.mht
  • Crack Passwords Mail.mht
  • Cristina Aguilera Sex Video.mht
  • Game Cube Real Emulator.mht
  • Hentai Anime Girls Movie.mht
  • Jenifer Lopez Sex Video.mht
  • Matrix Movie.mht
  • Mcafee Antivirus Scan Crack.mht
  • Norton Anvirus Key Crack.mht
  • Panda Antivirus Titanium Crack.mht
  • PS2 PlayStation Simulator.mht
  • Quick Time Key Crack.mht
  • Sakura Card Captor Movie.mht
  • Sex Live Simulator.mht
  • Sex Passwords.mht
  • Spiderman Movie.mht
  • Start Wars Trilogy Movies.mht
  • Thalia Sex Video.mht
  • Winzip KeyGenerator Crack.mht
  • ・さらにユーザのKaZaa LocalContentフォルダ内のファイル名の末尾にMHT拡張子を追加して、これらもファイル名に使用します。スクリプトがレジストリを改変して、KaZaa localContentフォルダがワームのコピーを含む新しく作成されたフォルダを指示するよう設定します。

    IRCを介した繁殖

    ・スクリプトファイル“DeathLetter.chat”を使用するように、スクリプトがmIRC client“MIRC.INI”を改変します。DeathLetter.chatファイルは、感染ユーザと同じチャネルを切断した他のIRCユーザに、以下のいずれかのファイル名でワームを送信します。

  • Aracnofobia.mht
  • Relatos.mht
  • www.EstasMuerto.mht
  • VampireSlayer.mht
  • Bush_Is_a_Murderer.mht
  • ・Pirch PIRCH98.INIファイル、PIRCH32.INIファイル、EVENTS.DLLファイルおよびEVENTS.INIファイルを改変して、感染ユーザと同じチャネルに接続および切断を行った他のユーザに“ComoHackearUnMail.mht”というファイル名で自身を送信します。

    TOPへ戻る

    以下の症状が見られる場合、このウイルスに感染している可能性があります。

    ・次のウインドウが表示されます。

    ・3つのURLを開きます(これらのWebサイトはウイルスを含んでいる可能性があるので、ここには掲載しません)。

    TOPへ戻る

    感染方法

    ・VBS/Grimgram@MMは、電子メール、KaZaaおよびIRCを介して繁殖します。

    TOPへ戻る