製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:J
ウイルス情報
ウイルス情報

ウイルス名
Wscript/Jer.worm
種別トロイの木馬
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4086 (現在7600)
対応エンジン4.0.50以降 (現在5600) 
エンジンバージョンの見分け方
別名JER.HTM, VBS.1ON1MAIL, VBS.Jer, VBS_Jer
情報掲載日00/07/13
発見日(米国日付)00/06/26
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 




Wscript/Jer.wormは、Visual Basic Scriptウイルスで、最初は、HTMLおよびVBScriptでエンコードされたWebページに投稿されました。このウイルスは、IRCチャネルを介して、またはMAPI電子メールで自身を分散します。また、このトロイの木馬には、ポリシーの設定を修正するレジストリ修正ルーチンが含まれ、他の設定変更の中からデスクトップの表示画面が変更されます。

このスクリプトの初期リリースの後に作成された亜種が2、3あります。伝えられるところでは、この亜種は、チャットセッションに参加している複数のユーザ(スクリプトが管理されているWebページにアクセスしている人)にリンクとして送られるということです。

オリジナルのWebページは、'THE 40 WAYS WOMEN FAIL IN BED'というタイトルで、テキストやインターネットウイルススクリプトが含まれます。インターネットセキュリティレベルを低く設定した状態で、このWebにアクセスすることは、最も危険です。

スクリプトが実行されると、ローカルシステムにファイルが書き込まれ、Windowsの起動時にこのファイルがロードされるように、レジストリが修正されます。このスクリプトの最初のバージョンは、'ewell.htm'を作成しますが、他の亜種は'1on1mail.htm'を作成します。レジストリの位置は、次のとおりです。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

レジストリは、次のように修正されます(元の値は'0'です)。

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoClose = 1
NoDesktop = 1
NoFind = 1
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network
NoNetSetup = 1
HKLM\Software\Microsoft\Windows\CurrentVersion
Version = VBS.Brian_Ewell
RegisteredOwner = Did you just get this job?
RegisteredOrganization = Symantec(r) 2000

このウイルスは、レジストリを修正した後に、IRCチャネルに参加したときに自身を分散する方法を用いて、ローカルスクリプトファイルMIRC.INIまたはSCRIPT.INIを修正します。

この後、次の形式のMAPI電子メールを使用してメッセージを送信します。

Subject = 'Brian Ewell Resume'
Body = 'I would really like to get a new job. Please check out my resume.'
'Enjoy :-)'
'Brian Ewell'
Attachments = 'Ewell.htm'

Windows\system(32)フォルダにHTMファイルを作成します。Webページを参照して、スクリプトを実行した後に、レジストリを修正します。Windowsのデスクトップの設定を変更するか、デスクトップに表示されているアイコンをすべて非表示にします。IRCチャネルの分散は、修正されたSCRIPT.INIまたはMIRC.INIスクリプトを介して行われます。MAPI電子メールが伝播します。

IRCチャネルにログオンすると、クライアントはチャネル'virus'にログオンして、次のメッセージを送信します。

'Another user infected by Brian Ewell -- Sarc'