製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:R
ウイルス情報
ウイルス名危険度
VBS/Ryon@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4293
対応定義ファイル
(現在必要とされるバージョン)
4303 (現在7563)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/09/16
発見日(米国日付)03/09/11
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/15W32/Sdbot.wo...
09/15W32/Virus.ge...
09/15FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7563
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・VBS/Ryon@MMは、VBS/Ryon@MMとして検出されます。実行されると、以下のロケーションに自身をコピーします。

  • c:\message.vbs
  • [windowsディレクトリ]\tasksys.vbs
  • [windowsディレクトリ directory]\message.vbs
  • [windows SYSTEMディレクトリ]\message.vbs
  • [windows SYSTEMディレクトリ]\helpdesk.vbs
  • [windows SYSTEMディレクトリ]\asl.vbs
  • [windows SYSTEMディレクトリ]\welcome.vbs
  • [windows SYSTEMディレクトリ]\fwtwih.dll

・以下のレジストリキーを追加します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run \tasksys, "[windowsディレクトリ]\tasksys.vbs"

・以下のメッセージを含む、c:\readme.htmlファイルを作成します。

・次に、c:\embryon.dllファイルとc:\embryon.vbsファイルを落とし込みます。これらのファイルはVBS/Generic@MMとして検出されます。c:\embryon.vbsファイルは、以下のレジストリキーを編集します。

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
    Start Page,"http://www.greenpeace.org.

・Embryon.vbsファイルは、すべての固定ドライブとネットワークドライブに\readme.vbsというファイル名でc:\message.vbsファイルをコピーします。また、mIRCがインストールされているかどうかを調べます。インストールされている場合は、script.iniファイルを編集して、mIRCで感染ファイルを送信します。

・Outlookを使用して、アドレスリストに登録されている最初の101件の宛先に電子メールメッセージを送信します。以下のレジストリキーに宛先を記録します。

  • HKEY_CURRENT_USER\Software\Microsoft\Notepad\

・以下のような電子メールを送信します。

  • 件名:Mail delivery failed: returning message to sender.
  • 本文:
    This message was created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients (see above from address). This is a permanent error. A copy of the message, including all the headers, is attached.
  • 添付ファイル:message.vbs

・Embryon.vbsファイルは、windows systemディレクトリにflps.vbsファイルを落とし込んで、a:\message.vbsファイルに感染ファイルのfwtwih.dllをコピーします。ただしコードにバグがあるため、この発病ルーチンは実行されません。c:\embryon.vbsファイルとc:\embryon.dllファイルを削除して、以下のレジストリキーを追加します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run\flps, "[windows SYSTEMディレクトリ]\flps.vbs"

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のファイルが存在し、レジストリが改変されます。

感染方法TOPへ戻る

・感染スクリプトを実行すると、感染します。

駆除方法TOPへ戻る

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

WindowsNT用のWebShield SMTPをFile Filteringと一緒に使用して下さい。(Solarisには適用できません)
  • 設定コンソールの中のコンテンツフィルタリングを選択します。
  • 「追加」を選びます。
  • 「VBSBlock」のようにコンテンツフィルタリングのルールを追加します。
  • .vbsのフィルタをオンにします。
  • 「OK」を選びます。

Windows ME/XPでの駆除についての補足

  • スクリプト、バッチ、マクロ、非メモリ常駐型:
    検出・駆除には現在のエンジンと定義ファイルを使用してください。

  • PE、トロイの木馬、インターネットワーム、メモリ常駐型:
    検出には対応したエンジンと定義ファイルを使用してください。駆除には、MS-DOS モードまたは、起動ディスクを使用して起動し、command line scanner:SCANPM /ADL /CLEAN /ALL を使用してください。

SCANPM /ADL /CLEAN /ALL

 Additional Windows ME/XP removal considerations

AVERT推薦アップデート