ウイルス情報

ウイルス名 危険度

VBS/Postcard@MM

企業ユーザ:
個人ユーザ:
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4130
対応定義ファイル
(現在必要とされるバージョン)
4130 (現在7634)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名 Postcard worm, VBS.Postcard@MM
情報掲載日 01/03/29
発見日(米国日付) 01/03/18
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

  • このウイルスは、Windows上では拡張子が表示されないファイルを作成します(Windowsですべてのファイルと拡張子を表示するように設定されていても、拡張子は表示されません)。

  • このウイルスを検出するには、VirusScanをScan All Files(すべてのファイルをスキャンする)に設定するか、スキャンするときに使用する拡張子リストに{??を追加します(この操作をVirusScanバージョン4.5で行うには、サービス パック1が必要です)。

  • このウイルスは、作成したファイルの拡張子にCSLID値を使用するエクスプロイト方式を採用しています。拡張子が表示されないのは、この方式によるものです。この機能自体は、Windowsに装備されているものです。

  • VBS/Postcard@MMは、ポリモアフィック型のVBScriptウイルスで、Microsoft Outlookのアドレス帳に登録されているすべての宛先に自身を配信します。

  • このウイルスは、WINDOWS、WINDOWS\SYSTEM、およびWINDOWS\TEMPディレクトリにある.ASP、.HTM、.HTML、および.SHTMLファイルの最後に感染スクリプト コードを追加することによって感染します。

  • また、このウイルスは、対応付けられているドライブのルート レベルに自身をコピーしようとします。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 次のようなActiveX警告メッセージが表示されます。

    Some software (ActiveX controls) on this page might be
    unsafe. It is recommeneded that you not run it. Do you
    want to allow it to run?
    (このページにある一部のソフトウェア(ActiveXコントロール)は、安全ではない可能性があります。実行しないことをお勧めしますが、実行しますか?)

  • 次のような新世紀を祝うメッセージが表示されます。

    Happy new year (2001).
    Best wishes from:
    your dear ...

  • このウイルスが起動すると、月曜日の(午前または午後)4:32、4:37、または4:48、あるいは木曜日の午前4:40〜45または午後2:40〜45に、システムがフリーズします。

TOPへ戻る

感染方法

  • スクリプトが最初に実行されると、次のようなActiveX警告メッセージが表示されます。

    Some software (ActiveX controls) on this page might be
    unsafe. It is recommeneded that you not run it. Do you
    want to allow it to run?
    (このページにある一部のソフトウェア(ActiveXコントロール)は、安全ではない可能性があります。実行しないことをお勧めしますが、実行しますか?)

  • スクリプトの実行が許可されると、ウイルスは感染します。下記のようなメッセージを表示します。

    HaPPy NeW Millenium

    Happy new year (2001).

    Best wishes from:

    your dear ...

  • スクリプトは、Internet Explorer のスタートページを C:\WINDOWS\TEMP\millenium.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B} に変更します。Internet Explorer セキュリティ設定は安全だとされていないスクリプトの実行を許可するに設定されます。ウイルスは、自身を下記のファイルにコピーします。

    C:\WINDOWS\SYSTEM\postcard.tif.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
    C:\WINDOWS\2001.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
    C:\WINDOWS\SYSTEM\dragonball.GT(dan kokoro hikareteku).{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
    C:\WINDOWS\TEMP\millenium.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
    C:\WINDOWS\TEMP\post-card.tif.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}

  • 作成された C:\WINDOWS\SYSTEM\[db.GT].wsf ファイルは Microsoft Outlook アドレス帳のすべてのアドレスに対して自身を送信する操作を含んでいます。

  • 下記のような E-mail を送信します。

    件名下記のいずれか

    • Happy new Millenium (read the postcard (attached file))
    • Postcard for you is waiting (in attachment)
    • Happy 2001 (for more action check attached file)
    • Stroke of luck? in 2001? (happy 2001 -read attachment)
    • Goodies You have got a postcard (attached file)
    • Someone sent you a postcard (in attachment)
    添付ファイルC:\WINDOWS\TEMP\post-card.tif.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}

  • Windows の所有者が "Lord YuP - [C]apsule [C]orp" に変更され、所属が "DragonBall GT" に変更されます。

  • また、このウイルスは、対応付けられているドライブのルート レベルに自身をコピーしようとします。
    対応づけられているドライブ:\docs.{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}. このウイルスは、WINDOWS、WINDOWS\SYSTEM、およびWINDOWS\TEMPディレクトリにある.ASP、.HTM、.HTML、および.SHTMLファイルの最後に感染スクリプト コードを追加することによって感染します。

  • 破壊活動は、C:\WINDOWS\SYSTEM\payl0ad.vbe ファイルに含まれています。このファイルは月曜の午前、午後(4時32分、または4時37分、または4時48分)、または、木曜の午前 4時40〜45分 または 午後2時40〜45分に実行されます。実行されると、WordPad を起動し、一時的にキーボードとマウスを使用不可にします。

TOPへ戻る