製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:K
ウイルス情報
ウイルス情報

ウイルス名
Wscript/KillMBR
種別トロイの木馬
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)		4077 (現在7084)
対応エンジン4.0.50以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名JS/KillMBR, VBS/KillMBR
情報掲載日00/05/11
発見日(米国日付)00/04/27
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/22W32/Virut.ge...
05/22W32/Duel!962...
05/22W32/Duel!EC1...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7084
 エンジン:5.4.00
 
ウイルス検索
 




これはスクリプト型トロイの木馬であり、ActiveX で署名をしたオブジェクトを VB Script を使って実行するときのセキュリティ ホールを悪用します。本トロイの木馬は、次回の Windows 再起動時に実行するための.HTA ファイルをローカル システムに書き込みます。この.HTA ファイルを実行すると、そのファイルがそのハード ドライブの最初の領域を上書きするためのコードを実行します。

本トロイの木馬が機能するために必要な要件は、IE5 と Windows Scripting Host がインストールされていることです。またこのトロイの木馬は、一般的に"scriptlet.typelib / Eyedog vulnerability"と呼ばれる脆弱点を修正するMicrosoft Update Patch をインストールしていないシステム上で、自動的に起動します。本トロイの木馬は、Windows の終了を指示すると、Windows を再起動させます。

本トロイの木馬は、ニュース グループに掲載された Virus Patrol(McAfee AVERT によるニュース グループ スキャン サービス)によるヒューリスティック アルゴリズムを使って発見、検出されます。本トロイの木馬は、Wscript/Kak.worm から借用したコードを使いますが、インターネット ウイルスとして広がることはありません。

このスクリプトの実行中に、Wscript/Kak.worm と同じような、以下の内容を含むメッセージが表示されます。

このスクリプトが実行された後、突然 Windows がシャットダウンすることがあります。すぐにAUTOEXEC.BAT ファイルに、以下の行を含む変更箇所がないかどうかを確認して下さい。

この行が存在すれば削除して下さい。

AVERT は、署名のないActiveX コントロールを含むスクリプトの検出用として Microsoft が提供するパッチにアップデートされることを、強くお勧めします。このパッチを当てると、警告が表示され、ユーザはそのコードを実行するかしないかを選択しなければなりません。このパッチは、ここからダウンロードして下さい。

以下は、このようなアタックを回避するためのヒントです。
* DEBUG.EXE ファイルを別の名前に変えた後(または)、そのハードドライブから削除する
* この自動化ツールを実装していないシステム上の"Windows Scripting Host"を、任意で削除する