ウイルス情報

ウイルス名

HLLT.Irok.10000

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4072
対応定義ファイル
(現在必要とされるバージョン)
4072 (現在7634)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 HLLT.Irok.ini, HLLT.Irok.vbs, Irok.10000, Irok.Trojan.Worm
亜種 HLLT.Irok.7876
情報掲載日 00/04/06
発見日(米国日付) 00/03/22
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


HLLT.Irokファミリは、BASIC の派生語で、アセンブラまたは低レベル言語との対極にあるHLLT(高レベル言語)ASICで書かれています。HLLT.Irok.10000には、10000バイトの亜種が1つあり、ウイルスコードは圧縮されています。

このウイルスはユーザのハードディスクをフォーマットできることが分かっています。フォーマットは、夏時間が始まった後、ユーザのシステムが感染したとき、リブートをしたときに起こることがあります。

感染システムで最初にこのウイルスが実行されると、以下のようになります。

現行ディレクトリとパスにあるCOMファイルとEXEファイルに感染します。win, dll, spa, man, drv, scr, krnl, 386, msc, com, exp, mou, gw, go, sta, use, gdi, conの文字が含まれるファイルには感染しません。anti-vir.dat, chklist.ms, chklist.cps, vs.vsn, ivb.ntzという名前のファイルは削除します。

このウイルスは、実行ファイルの最初の10000バイトを暗号化して、ウイルスと同じサイズのスライスをファイルの最後に移動し、ファイルの最初の10000バイトを自身のコードで置換します。ファイルの日付と時刻は暗号キーとして使用されるため、何らかの方法で感染ファイルが変更されると、そのファイルは実行されなくなります。このウイルスは、コマンドラインパラメータを感染プログラムに渡さないため、パラメータを使用するプログラムは正常に動作しなくなります。

このウイルスは、c:\windows\system\irok.exeというドロッパファイルを作成して、c:\windows\startm~1\programs\startupにIROKRUN.VBSというスクリプトファイルを作成します。c:\windows\startm~1\programs\startupフォルダが存在しない場合、このウイルスはスクリプトをドロップできません。スクリプトはOutlookメールを利用して、自身をOutlookアドレス帳にある最大60件の宛先に送信しようとします。メッセージの件名は、「I thought you might like to see this」で、本文は「I thought you might like this. I got it from paramount pictures website. It's a startrek screen saver.」です。

c:\windows\system\irok.exeファイルは、このメッセージに添付されます。このウイルスは、すでにVBSファイルをドロップしているかどうかを確認するための目印としてc:\windows\system\winrde.dllというファイルを作成します。winrde.dllファイルは、実際にはDLLファイルではなく、ただの目印です。VBSファイルは、次にコンピュータが起動したときに実行されます。Windowsのスクリプトホストがインストールされている場合は、このウイルスは自身を削除します。

ディレクトリ"c:\mirc"が存在する場合、このウイルスはc:\mirc\irok.exeというドロッパファイルを作成します。また、誰かがIRCチャネルに参加したときは、IROK.EXEのファイル名でmIRCクライアントと"dcc"自身を使用しようとするc:\mirc\script.iniファイルを作成します。感染ユーザが参加しているIRCチャネルで誰かが"irok"を実行すると、スクリプトによって、感染ユーザが参加しているすべてのチャネルに「My computer is 0wned by IRoK v1.1」というメッセージが表示されます。mircスクリプトは、IRC/Simpsalapim.genとしてすでに検出されています。

ウイルスには、以下の文字列が含まれます。
Hey You! <----------- >>> Push enter stupid!
IRoK v1.1 is initializing...

そして、ディスクのデータを削除します。また、NTDETECT.COMファイルが壊れることも報告されています(これにより、NTシステムはブートできなくなります)。詳細についてはこちらを参照してください(英文)。

バイナリファイルのサイズを増加させ、システム速度を低下させます。ファイルを実行したときと閉じたときに、MS-DOSボックスが開きます。ファイルは、上記のとおり作成されます。プログラムは、コマンドラインパラメータを受け入れません。