製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:H
ウイルス情報
ウイルス情報

ウイルス名
HLLT.Irok.10000
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)		4072
対応定義ファイル
(現在必要とされるバージョン)		4072 (現在7084)
対応エンジン4.0.25以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名HLLT.Irok.ini, HLLT.Irok.vbs, Irok.10000, Irok.Trojan.Worm
亜種HLLT.Irok.7876
情報掲載日00/04/06
発見日(米国日付)00/03/22
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/22W32/Virut.ge...
05/22W32/Duel!962...
05/22W32/Duel!EC1...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7084
 エンジン:5.4.00
 
ウイルス検索
 




HLLT.Irokファミリは、BASIC の派生語で、アセンブラまたは低レベル言語との対極にあるHLLT(高レベル言語)ASICで書かれています。HLLT.Irok.10000には、10000バイトの亜種が1つあり、ウイルスコードは圧縮されています。

このウイルスはユーザのハードディスクをフォーマットできることが分かっています。フォーマットは、夏時間が始まった後、ユーザのシステムが感染したとき、リブートをしたときに起こることがあります。

感染システムで最初にこのウイルスが実行されると、以下のようになります。

現行ディレクトリとパスにあるCOMファイルとEXEファイルに感染します。win, dll, spa, man, drv, scr, krnl, 386, msc, com, exp, mou, gw, go, sta, use, gdi, conの文字が含まれるファイルには感染しません。anti-vir.dat, chklist.ms, chklist.cps, vs.vsn, ivb.ntzという名前のファイルは削除します。

このウイルスは、実行ファイルの最初の10000バイトを暗号化して、ウイルスと同じサイズのスライスをファイルの最後に移動し、ファイルの最初の10000バイトを自身のコードで置換します。ファイルの日付と時刻は暗号キーとして使用されるため、何らかの方法で感染ファイルが変更されると、そのファイルは実行されなくなります。このウイルスは、コマンドラインパラメータを感染プログラムに渡さないため、パラメータを使用するプログラムは正常に動作しなくなります。

このウイルスは、c:\windows\system\irok.exeというドロッパファイルを作成して、c:\windows\startm~1\programs\startupにIROKRUN.VBSというスクリプトファイルを作成します。c:\windows\startm~1\programs\startupフォルダが存在しない場合、このウイルスはスクリプトをドロップできません。スクリプトはOutlookメールを利用して、自身をOutlookアドレス帳にある最大60件の宛先に送信しようとします。メッセージの件名は、「I thought you might like to see this」で、本文は「I thought you might like this. I got it from paramount pictures website. It's a startrek screen saver.」です。

c:\windows\system\irok.exeファイルは、このメッセージに添付されます。このウイルスは、すでにVBSファイルをドロップしているかどうかを確認するための目印としてc:\windows\system\winrde.dllというファイルを作成します。winrde.dllファイルは、実際にはDLLファイルではなく、ただの目印です。VBSファイルは、次にコンピュータが起動したときに実行されます。Windowsのスクリプトホストがインストールされている場合は、このウイルスは自身を削除します。

ディレクトリ"c:\mirc"が存在する場合、このウイルスはc:\mirc\irok.exeというドロッパファイルを作成します。また、誰かがIRCチャネルに参加したときは、IROK.EXEのファイル名でmIRCクライアントと"dcc"自身を使用しようとするc:\mirc\script.iniファイルを作成します。感染ユーザが参加しているIRCチャネルで誰かが"irok"を実行すると、スクリプトによって、感染ユーザが参加しているすべてのチャネルに「My computer is 0wned by IRoK v1.1」というメッセージが表示されます。mircスクリプトは、IRC/Simpsalapim.genとしてすでに検出されています。

ウイルスには、以下の文字列が含まれます。
Hey You! <----------- >>> Push enter stupid!
IRoK v1.1 is initializing...

そして、ディスクのデータを削除します。また、NTDETECT.COMファイルが壊れることも報告されています(これにより、NTシステムはブートできなくなります)。詳細についてはこちらを参照してください(英文)。

バイナリファイルのサイズを増加させ、システム速度を低下させます。ファイルを実行したときと閉じたときに、MS-DOSボックスが開きます。ファイルは、上記のとおり作成されます。プログラムは、コマンドラインパラメータを受け入れません。