ウイルス情報

ウイルス名

VBS/Haptime@MM

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4146
対応定義ファイル
(現在必要とされるバージョン)
4146 (現在7656)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名 Happy Time, VBS.Happytime.A, VBS/Help, VBS_Haptime.A
情報掲載日 01/05/10
発見日(米国日付) 01/04/29
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • このVisual Basic Scriptウイルスは、自身をファイルに付加して、ファイルを削除するほか、埋め込み型VBScript(HTML形式の電子メールの本文に含まれている)を通して繁殖します。

  • スクリプトが実行されると、このウイルスは.ASP、.HTM、.HTML、.HTT、および.VBSファイルの最後に自身を挿入します。

  • 現在の日付と月の数を足して13になると、このウイルスはローカル ドライブとネットワーク ドライブにある.DLLおよび.EXEファイルを削除しようとします。

  • このウイルスは、C:ドライブ内で最初に見つけたディレクトリ内にあるHELP.HTAとHELP.VBS、およびWINDOWSディレクトリ内にあるHELP.HTMとUNTITLED.HTMに自身のウイルス コードを保存します。

  • 次のレジストリ キーの値が作成されます。これにより、現在設定されている壁紙がHELP.HTMファイルに改変され、アクティブ デスクトップが有効な場合は、システム起動時にウイルスが起動します。

    HKCU\Control Panel\Desktop\wallPaper=%WinDir%\HELP.HTM

  • JS/Kak@Mと同様、このウイルスは、Microsoft Outlook Expressで使用されているデフォルトの常駐ファイルを外部ファイル%WinDir%\UNTITLED.HTMに設定します。これにより、Outlook Expressから送信されたすべてのメッセージに、非表示のウイルス コードが含まれます。この操作を遂行するために、レジストリの設定が次のように改変されます。

    HKCU\Identities\(User ID)\Software\Microsoft\
    Outlook Express\5.0\Mail\Message Send HTML="1"

    HKCU\Identities\(User ID)\Software\Microsoft\
    Outlook Express\5.0\Mail\Compose Use Stationery="1"

    HKCU\Identities\(User ID)\Software\Microsoft\
    Outlook Express\5.0\Mail\Stationery Name="%WinDir%\Untitled.htm"

  • %WinDir%\WEBディレクトリにある.HTTファイルにも感染するため、フォルダがWebページとして表示されると、ウイルスが起動するようになります。

  • このウイルスは、新しいレジストリ キーを作成し、次のキーのキー値を増分することによって、ウイルスの起動回数を追跡します。

    HKCU\Software\Help\

  • カウンタが366の倍数になると、このウイルスは配信する電子メールにUNTITLED.HTMファイルを添付できなくなります。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

AVERT推薦アップデート

TOPへ戻る