ウイルス情報

ウイルス名

VBS/Netlog.worm.a

種別 トロイの木馬
ファイルサイズ cRiskLow
最小定義ファイル
(最初に検出を確認したバージョン)
4065
対応定義ファイル
(現在必要とされるバージョン)
4065 (現在7628)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 Network.vbs, Trojan.Win32.Netlog
情報掲載日 00/02/03
発見日(米国日付) 00/02/02
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


  • VBS/Netlog.worm.aは、インターネット対応の新しいVBScriptウイルスです。

  • AVERTによって確認されたサンプルファイルは、2,429バイトです。

  • このウイルスは、ユーザがVBScriptファイルを実行したときや、電子メールメッセージを開いたときに感染するのではなく、オープンなネットワーク共有を通して繁殖します。

  • 最初に、このウイルスは、"c:\network.log"ファイルを検索します。このファイルを見つけると、削除します。

  • 次に、新しく"c:\network.log"というファイルを作成して、そのファイルに"Log file Open"と書き込み、さらに次の情報を書き込みます。
    "Subnet : [199〜214の乱数].[1〜254の乱数].[1〜254の乱数].0"

  • 次に、このウイルスは、アドレスをスキャンします。たとえば、10、11、12を選ぶと、最初に10.11.12.1をスキャンし、以降は10.11.12.2、10.11.12.3...と続き、10.11.12.255までスキャンします。255に達すると、新しいサブネットをランダムに選んで、スキャンします。

  • このウイルスが1回の実行で50個のサブネットをスキャンすると、インターネットアドレスの先頭部分は199〜214に制限されず、1〜254までの任意のアドレスを選べるようになります。

  • ネットワーク全体に感染すると、このウイルスは、DNSサーバの参照機能により、完全なDDoS (Distributed Denial of Service:分散型サービス拒否)として動作するようになります。

  • オペレーティングシステムは、リストされているすべてのDNSサーバを使用して生成されたサイトを検索しようとします。 ・最終的に、これらの問い合わせ(クエリー)はすべて、リストされているドメインサーバに戻ります。

  • コンピュータ上でこれらの要求を結合すると、サーバに負荷がかかり過ぎるため、クラッシュするか、すべての着信要求に応答できなくなります。

  • このウイルスは、スキャンするときにWindows NetBIOSを使用して、ネットワーク上で"C"と呼ばれるオープンな共有部分を検索します。

  • この共有部分は、ユーザがローカルネットワーク上で共有する共有ドライバですが、インターネット全体で共有されてしまいます。

  • 次に、このウイルスはリモートドライブをドライブ"J:"として対応付けます。

  • この対応付けに成功すると、"c:\network.log"ファイルに次の文字を書き込みます。

    "Copying files to : [リモートドライブのネットワーク名]"

  • 最初に、このウイルスはテストとして、自身をリモートドライブのルートディレクトリにコピーして、問題なくコピーできるかどうかチェックします。コピーが成功すると、"c:\network.log" ファイルに次の文字を書き込みます。

    "Successful copy to : [リモートドライブのネットワーク名]"

  • この後で、network.vbsファイルを次のディレクトリにコピーします。

    "j:\windows\startm~1\programs\startup\"
    "j:\windows\"
    "j:\windows\start menu\programs\startup\"
    "j:\win95\start menu\programs\startup\"
    "j:\win95\startm~1\programs\startup\"
    "j:\wind95\"

  • 上記のJ:は、前にウイルスが対応付けたリモートドライブ C:を示します。したがって、J:はドライブC:なので、次に感染コンピュータが起動したときに、このウイルスはコンピュータを制御できるようになります。

  • 通常のWindowsシステムには、"c:\windows\wsh\samples\network.vbs"というファイルが存在しますが、このファイルは無害で、このウイルスとは無関係です。