ウイルス情報ウイルス情報| 種別 | トロイの木馬 | | ファイルサイズ | 低 | 最小定義ファイル
(最初に検出を確認したバージョン) | | 対応定義ファイル
(現在必要とされるバージョン) | 4086 (現在7084) | | 対応エンジン | 4.0.50以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | JER.HTM, VBS.1ON1MAIL, VBS.Jer, VBS_Jer | | 情報掲載日 | 00/07/13 | | 発見日(米国日付) | 00/06/26 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
Wscript/Jer.wormは、Visual Basic Scriptウイルスで、最初は、HTMLおよびVBScriptでエンコードされたWebページに投稿されました。このウイルスは、IRCチャネルを介して、またはMAPI電子メールで自身を分散します。また、このトロイの木馬には、ポリシーの設定を修正するレジストリ修正ルーチンが含まれ、他の設定変更の中からデスクトップの表示画面が変更されます。
このスクリプトの初期リリースの後に作成された亜種が2、3あります。伝えられるところでは、この亜種は、チャットセッションに参加している複数のユーザ(スクリプトが管理されているWebページにアクセスしている人)にリンクとして送られるということです。
オリジナルのWebページは、'THE 40 WAYS WOMEN FAIL IN BED'というタイトルで、テキストやインターネットウイルススクリプトが含まれます。インターネットセキュリティレベルを低く設定した状態で、このWebにアクセスすることは、最も危険です。
スクリプトが実行されると、ローカルシステムにファイルが書き込まれ、Windowsの起動時にこのファイルがロードされるように、レジストリが修正されます。このスクリプトの最初のバージョンは、'ewell.htm'を作成しますが、他の亜種は'1on1mail.htm'を作成します。レジストリの位置は、次のとおりです。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
レジストリは、次のように修正されます(元の値は'0'です)。
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoClose = 1
NoDesktop = 1
NoFind = 1
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network
NoNetSetup = 1
HKLM\Software\Microsoft\Windows\CurrentVersion
Version = VBS.Brian_Ewell
RegisteredOwner = Did you just get this job?
RegisteredOrganization = Symantec(r) 2000
このウイルスは、レジストリを修正した後に、IRCチャネルに参加したときに自身を分散する方法を用いて、ローカルスクリプトファイルMIRC.INIまたはSCRIPT.INIを修正します。
この後、次の形式のMAPI電子メールを使用してメッセージを送信します。
Subject = 'Brian Ewell Resume'
Body = 'I would really like to get a new job. Please check out my resume.'
'Enjoy :-)'
'Brian Ewell'
Attachments = 'Ewell.htm'
Windows\system(32)フォルダにHTMファイルを作成します。Webページを参照して、スクリプトを実行した後に、レジストリを修正します。Windowsのデスクトップの設定を変更するか、デスクトップに表示されているアイコンをすべて非表示にします。IRCチャネルの分散は、修正されたSCRIPT.INIまたはMIRC.INIスクリプトを介して行われます。MAPI電子メールが伝播します。
IRCチャネルにログオンすると、クライアントはチャネル'virus'にログオンして、次のメッセージを送信します。
'Another user infected by Brian Ewell -- Sarc'
