ウイルス情報

ウイルス名

VBS/NetLog.worm.c

種別 トロイの木馬
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4073
対応定義ファイル
(現在必要とされるバージョン)
4073 (現在7659)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 00/04/14
発見日(米国日付) 00/03/13
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


これは VB Script で書かれたトロイの木馬であり、Windows Scripting Host がインストールされているシステム上で動作するように設計されています。本トロイの木馬の主な目的は、開いた状態の共有ドライブが存在するシステムに広がることです。その方法は、Windows NetBIOS を使って IP アドレスをスキャンすることで、"C"という、開いた状態の共有ドライブを探すというものです。これはユーザがローカル ネットワークと共有するように指定したはずが、不注意にもインターネット全体で共有してしまった共有ドライブです。その後、このリモート ドライブを"J:"ドライブとしてマップします。

マップに成功すると、
"Copying files to : [リモート ドライブのネットワーク名]"
と"c:\network.log"ファイルに書き込みます。

まずテストとして、本トロイの木馬は自らをそのリモート ドライブのルート ディレクトリにコピーし、正常にコピーできたかどうかを確認します。正常にコピーできていれば、
"Successful copy to : [リモート ドライブのネットワーク名]"
と"c:\network.log"ファイルに書き込みます。その後、network.vbs ファイルを以下のディレクトリにコピーします。

"j:\windows\startm~1\programs\startup\"
"j:\windows\"
"j:\windows\start menu\programs\startup\"
"j:\win95\start menu\programs\startup\"
"j:\win95\startm~1\programs\startup\"
"j:\wind95\"

J: は、このウイルスが最初にマップしたドライブ C: です。つまり、次回このコンピュータを起動する時は、このウイルスが制御権をもちます。これは J: が実際には C: であるためです。

VBS/NetLog.worm のこの亜種は、開いた共有ドライブとして利用できるシステムを発見すると、"Distributed.net"によって作成、リリースされたプログラムを、WINDOWS フォルダにDNETC.EXE と DNETC.INI というファイル名でコピーします。その後、その開いたコンピュータのスタートアップ フォルダに"microsoft_office.lnk"というショートカット ファイルをコピーします。そのmicrosoft_office.lnk ファイルを起動すると、Windows フォルダから DNETC.EXE のコピーを起動します。