製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:N
ウイルス情報
ウイルス情報

ウイルス名
VBS/Netlog.worm.a
種別トロイの木馬
ファイルサイズ cRiskLow
最小定義ファイル
(最初に検出を確認したバージョン)
4065
対応定義ファイル
(現在必要とされるバージョン)
4065 (現在7549)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名Network.vbs, Trojan.Win32.Netlog
情報掲載日00/02/03
発見日(米国日付)00/02/02
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/01Downloader-F...
09/01RDN/Download...
09/01RDN/Download...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7549
 エンジン:5600
 
ウイルス検索
 




  • VBS/Netlog.worm.aは、インターネット対応の新しいVBScriptウイルスです。

  • AVERTによって確認されたサンプルファイルは、2,429バイトです。

  • このウイルスは、ユーザがVBScriptファイルを実行したときや、電子メールメッセージを開いたときに感染するのではなく、オープンなネットワーク共有を通して繁殖します。

  • 最初に、このウイルスは、"c:\network.log"ファイルを検索します。このファイルを見つけると、削除します。

  • 次に、新しく"c:\network.log"というファイルを作成して、そのファイルに"Log file Open"と書き込み、さらに次の情報を書き込みます。
    "Subnet : [199〜214の乱数].[1〜254の乱数].[1〜254の乱数].0"

  • 次に、このウイルスは、アドレスをスキャンします。たとえば、10、11、12を選ぶと、最初に10.11.12.1をスキャンし、以降は10.11.12.2、10.11.12.3...と続き、10.11.12.255までスキャンします。255に達すると、新しいサブネットをランダムに選んで、スキャンします。

  • このウイルスが1回の実行で50個のサブネットをスキャンすると、インターネットアドレスの先頭部分は199〜214に制限されず、1〜254までの任意のアドレスを選べるようになります。

  • ネットワーク全体に感染すると、このウイルスは、DNSサーバの参照機能により、完全なDDoS (Distributed Denial of Service:分散型サービス拒否)として動作するようになります。

  • オペレーティングシステムは、リストされているすべてのDNSサーバを使用して生成されたサイトを検索しようとします。 ・最終的に、これらの問い合わせ(クエリー)はすべて、リストされているドメインサーバに戻ります。

  • コンピュータ上でこれらの要求を結合すると、サーバに負荷がかかり過ぎるため、クラッシュするか、すべての着信要求に応答できなくなります。

  • このウイルスは、スキャンするときにWindows NetBIOSを使用して、ネットワーク上で"C"と呼ばれるオープンな共有部分を検索します。

  • この共有部分は、ユーザがローカルネットワーク上で共有する共有ドライバですが、インターネット全体で共有されてしまいます。

  • 次に、このウイルスはリモートドライブをドライブ"J:"として対応付けます。

  • この対応付けに成功すると、"c:\network.log"ファイルに次の文字を書き込みます。

    "Copying files to : [リモートドライブのネットワーク名]"

  • 最初に、このウイルスはテストとして、自身をリモートドライブのルートディレクトリにコピーして、問題なくコピーできるかどうかチェックします。コピーが成功すると、"c:\network.log" ファイルに次の文字を書き込みます。

    "Successful copy to : [リモートドライブのネットワーク名]"

  • この後で、network.vbsファイルを次のディレクトリにコピーします。

    "j:\windows\startm~1\programs\startup\"
    "j:\windows\"
    "j:\windows\start menu\programs\startup\"
    "j:\win95\start menu\programs\startup\"
    "j:\win95\startm~1\programs\startup\"
    "j:\wind95\"

  • 上記のJ:は、前にウイルスが対応付けたリモートドライブ C:を示します。したがって、J:はドライブC:なので、次に感染コンピュータが起動したときに、このウイルスはコンピュータを制御できるようになります。

  • 通常のWindowsシステムには、"c:\windows\wsh\samples\network.vbs"というファイルが存在しますが、このファイルは無害で、このウイルスとは無関係です。