ウイルス情報

ウイルス名

VBS/Hard@MM

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4138
対応定義ファイル
(現在必要とされるバージョン)
4138 (現在7634)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名 VBS/Hard-A
情報掲載日 01/05/17
発見日(米国日付) 01/05/12
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • VBS/Hard@MMは、Windowsが起動するたびに、Microsoft Outlook Expressのアドレス帳に登録されているすべての宛先に自身を配信するマス メーリング ウイルスです。

  • このウイルスは、次の電子メール メッセージで配信されることがあります。

    送信者warning@symantec.com
    宛先supervisor@av.net; security@softtools.com; mark_fyston@storess.net; directorcut@ufp.com;
    pjeterov@goldenhit.org; kim_di_yung@freeland.ch; james.heart@macrosoft.com
    件名FW: Symantec Anti-Virus Warning
    本文Hello,

    There is a new worm on the Net.
    This worm is very fast-spreading and very dangerous!

    Symantec has first noticed it on April 04, 2001.

    The attached file is a description of the worm and how it replicates itself.

    With regards,
    F. Jones
    Symantec senior developer

    添付ファイル: www.symantec.com.vbs
    (添付ファイルのサイズは、23,268バイトです。)

    <訳> ネット上に新種のウイルスが存在します。
    このウイルスは急激に繁殖するため、大変危険です!

    シマンテックは、2001年4月4日にこのウイルスを最初に確認しました。

    添付ファイルには、ウイルスとその自己複製方法に関する説明が記載されています。

    F. ジョーンズ
    シマンテック シニア デベロッパ

  • 添付ファイルを実行すると、DOSウィンドウに次のように表示されることがあります。

    Symantec Anti-Virus Check-up.
     1 file(s) copies
    c:\SWITCH\www.symantec.com.hta => c:\www.symantec.com.hta [ok]

  • その直後に、HTMLアプリケーションに"SARC Write-up - VBS.AmericanHistoryX_II@mm"というウィンドウが作成されます。このウィンドウは、実際のSARC記述ページに似せて作られていますが、ページの下部に表示されるクレジット(以下参照)を見れば、簡単に偽物だと分かります。

    Write-up by: The author of the worm

  • また、レジストリ キーが次のように改変されるため、Internet Explorerのデフォルトのスタート ページにこのコンテンツが表示されます。

    HKCU\Software\Microsoft\Internet Explorer\Main\
    Start Page=c:\www.symantec.com.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}

  • 次のファイルが作成されます。
      * c:\message.vbs - 11月24日に"Some shocking news"というメッセージ ボックスを表示する命令が含まれます。次のメッセージが表示されます。

      "Don't look surprised! It is only a warning about your stupidity Take care!"
      (驚かないで!これはあなたの愚かさを警告するだけです。気をつけて!)

      * c:\switch.bat - c:\www.symantec.com.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}をc:\www.symantec.com.htaにコピーします。

      * c:\www.symantec.com.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}およびc:\www.symantec.com.hta - VBS.AmericanHistoryX_II@mmに関する偽物のSARC記述ページを表示する命令が含まれます。

      * c:\www.symantec.com.vbs - 他のユーザに配信されるウイルスのコピーです。

      * c:\www.symantec_send.vbs - メーリング ルーチンが含まれます。

  • システム起動時にウイルスの各種コンポーネントが読み込まれるように、次のレジストリ実行キーが作成されます。

    HKCU\Software\Microsoft\Windows\CurrentVersion\
    Run\Message = c:\message.vbs

    HKCU\Software\Microsoft\Windows\CurrentVersion\
    Run\Outlook = c:\www.symantec_send.vbs

    HKCU\Software\Microsoft\Windows\CurrentVersion\
    Run\Symantec=c:\infected with Virus.vbs
    (参照先のファイルは作成されないため、このエントリは重要ではありません)

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

AVERT推薦アップデート

TOPへ戻る