ウイルス情報

ウイルス名

VBS/Netlog.worm

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4065
対応定義ファイル
(現在必要とされるバージョン)
4065 (現在7634)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 Network.vbs
情報掲載日 00/02/28
補足 ネットワーク共有ドライブを悪用
発見日(米国日付) 00/02/02
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


これは新種のInternet型VBScriptウイルスです。AVERTに寄せられた検体は2,426バイトのものです。このウイルスの興味深い点は、VBScriptファイルを手動で起動させる必要がないということです。また電子メールのメッセージを読まなくても感染するため、開いたネットワーク共有ドライブ全体に感染してしまいます。

まずこのウイルスは、"c:\network.log"というファイルを検索します。そのファイルを見つけると削除し、新たに"c:\network.log"ファイルを作成した後、"Log file Open"と書き込みます。そして"c:\network.log"ファイルに以下の情報を書き込みます。

"Subnet : [199から214までのランダムに選んだ数字].[1から254までのランダムに選んだ数字].[1から254までのランダムに選んだ数字].0"

この後、アドレスのスキャンを開始します。例えば、10、11、12が選択されていれば、まず10.11.12.1でスキャンし、その後10.11.12.2、次に10.11.12.3というように、10.11.12.255に到達するまでスキャンを続けます。そして別のサブネットをランダムに選択してスキャンをおこないます。連続して50のサブネットをスキャンした後は、インターネットアドレスの最初の部分に199から214までという制限がなくなり、1から254までの中から選択できるようになります。

このウイルスは、スキャンするときに、Windows NetBIOSを使って"C"という開いた共有ドライブを検索します。これは、ユーザがユーザのローカルネットワークで共有しようとする共有ドライブですが、不注意にもインターネット全体で共有されています。その後、そのリモートドライブを"J"としてマップしようとします。

マップに成功すると、

"Copying files to : [リモートドライブのネットワーク名]"

を"c:\network.log"ファイルに書き込みます。

まずテストとして、このウイルスはみずからをリモートドライブのルートディレクトリにコピーし、コピーが正しく行われたかどうかを確認します。正しくコピーできていれば、

"Successful copy to : [リモートドライブのネットワーク名]"

を"c:\network.log"ファイルに書き込みます。その後、network.vbsファイルを以下のディレクトリにコピーします。

"j:\windows\startm~1\programs\startup\"
"j:\windows\
" "j:\windows\start menu\programs\startup\"
"j:\win95\start menu\programs\startup\"
"j:\win95\startm~1\programs\startup\"
"j:\wind95\"

J:とは、当初ウイルスがC:としてマップしたリモートドライブです。つまり、J:は実際にはC:を指しているため、次回このコンピュータを起動させるとき、ウイルスが制御を奪うことになります。