ウイルス情報

ウイルス名

Wscript/KillMBR

種別 トロイの木馬
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4077 (現在7656)
対応エンジン 4.0.50以降 (現在5600) 
エンジンバージョンの見分け方
別名 JS/KillMBR, VBS/KillMBR
情報掲載日 00/05/11
発見日(米国日付) 00/04/27
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


これはスクリプト型トロイの木馬であり、ActiveX で署名をしたオブジェクトを VB Script を使って実行するときのセキュリティ ホールを悪用します。本トロイの木馬は、次回の Windows 再起動時に実行するための.HTA ファイルをローカル システムに書き込みます。この.HTA ファイルを実行すると、そのファイルがそのハード ドライブの最初の領域を上書きするためのコードを実行します。

本トロイの木馬が機能するために必要な要件は、IE5 と Windows Scripting Host がインストールされていることです。またこのトロイの木馬は、一般的に"scriptlet.typelib / Eyedog vulnerability"と呼ばれる脆弱点を修正するMicrosoft Update Patch をインストールしていないシステム上で、自動的に起動します。本トロイの木馬は、Windows の終了を指示すると、Windows を再起動させます。

本トロイの木馬は、ニュース グループに掲載された Virus Patrol(McAfee AVERT によるニュース グループ スキャン サービス)によるヒューリスティック アルゴリズムを使って発見、検出されます。本トロイの木馬は、Wscript/Kak.worm から借用したコードを使いますが、インターネット ウイルスとして広がることはありません。

このスクリプトの実行中に、Wscript/Kak.worm と同じような、以下の内容を含むメッセージが表示されます。

このスクリプトが実行された後、突然 Windows がシャットダウンすることがあります。すぐにAUTOEXEC.BAT ファイルに、以下の行を含む変更箇所がないかどうかを確認して下さい。

この行が存在すれば削除して下さい。

AVERT は、署名のないActiveX コントロールを含むスクリプトの検出用として Microsoft が提供するパッチにアップデートされることを、強くお勧めします。このパッチを当てると、警告が表示され、ユーザはそのコードを実行するかしないかを選択しなければなりません。このパッチは、ここからダウンロードして下さい。

以下は、このようなアタックを回避するためのヒントです。
* DEBUG.EXE ファイルを別の名前に変えた後(または)、そのハードドライブから削除する
* この自動化ツールを実装していないシステム上の"Windows Scripting Host"を、任意で削除する