製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス情報

ウイルス名
IRC/Stages.worm
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4082
対応定義ファイル
(現在必要とされるバージョン)
4082 (現在7516)
対応エンジン4.0.50以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Scrapworm, IRC/Stages.ini, LIFE_STAGES.TXT.SHS, ShellScrap Worm, VBS/LifeStages, VBS/Stages.14558, VBS/Stages.2542, VBS/Stages.27356, VBS/Stages.worm, VBS_STAGES
情報掲載日00/06/15
補足SHSファイルを悪用。.TXTファイルを偽装
発見日(米国日付)00/05/26
駆除補足駆除ツールウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/30RDN/Generic....
07/30RDN/Generic....
07/30Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7516
 エンジン:5600
 
ウイルス検索
 




AVERTは本インターネットウイルスの報告を多数受けたことに基づき、本ウイルスの危険度を「低」から「高」に格上げしました。AVERTはウイルススキャンの検査対象の拡張子に".SHS"を追加することを推奨します。6/20

注:本ページの情報は逐次更新されます。

IRC/Stages.wormは、4とおりの繁殖メカニズムを持つ、マルチアプリケーションインターネットウイルスです。このウイルスはPirch、Outlook、およびmIRCのインストール時に繁殖するだけでなく、マッピングされている使用可能なドライブに対しても繁殖します。

IRC/Stages.wormは、以下のような形式の電子メールで配信される可能性があります。

件名(ランダム)
本文The male and female stages of life.
添付ファイルLIFE_STAGES.TXT.SHS
件名は[ランダム部分1] + [ランダム部分2] + [ランダム部分3] の方式により作成されます。12通りのランダムなものとなります。

ランダム部分1:"FW: ", ""
ランダム部分2:"Life stages", "Funny", "Jokes"
ランダム部分3: " text", ""

なお、メールの宛先は、BCCで指定されます。

添付ファイルのサイズは39,936バイトです。これはShell Scrap Objectファイルです。SHSファイルは、認証ファイルからトロイの木馬アプリケーションまで、あらゆるタイプのファイルである可能性があるため、最も予測しにくいファイル種類だと言えます。今回の場合、ファイルを信頼することはできません。

SHSファイルの興味深い特徴として、オペレーティングシステムがファイルの拡張子を表示するように設定されている場合でも、拡張子が表示されないことが挙げられます。つまり.TXT.SHSファイルは常に.TXTとして表示されます。このため、ユーザは混乱して、SHSファイルを.TXT 形式のファイルだと思い込んでしまうことがあります。

添付ファイル"LIFE_STAGES.TXT.SHS"をダブルクリックすると、このインターネットウイルスは変わった方法でインストールされます。

このウイルスが、ローカルホストに自身をインストールする際に、以下のテキストファイルが表示されます。

- The male stages of life:

Age. Seduction lines.
17 My parents are away for the weekend.
25 My girlfriend is away for the weekend.
35 My fiancee is away for the weekend.
48 My wife is away for the weekend.
66 My second wife is dead.

Age. Favorite sport.
17 Sex.
25 Sex.
35 Sex.
48 Sex.
66 Napping.

Age. Definiton of a successful date.
17 Tongue.
25 Breakfast.
35 She didn't set back my therapy.
48 I didn't have to meet her kids.
66 Got home alive.

- The female stages of life:

Age. Favourite fantasy.
17 Tall, dark and hansome.
25 Tall, dark and hansome with money.
35 Tall, dark and hansome with money and a brain.
48 A man with hair.
66 A man.

Age. Ideal date.
17 He offers to pay.
25 He pays.
35 He cooks breakfast next morning.
48 He cooks breakfast next morning for the kids.
66 He can chew his breakfast.

SHSファイルが使用されている場合、「登録されているファイルの拡張子は表示しない」がオフになっている場合でも、また「すべてのファイルを表示」がオンになっている場合でも .SHS拡張子が表示されないことを意味します。

これはShell Scrapファイルタイプの以下のレジストリ・エントリに因るものです。

HKEY_CLASSES_ROOT\ShellScrap "NeverShowExt"="0" このエントリを"NeverShowExt"(拡張子は非表示)から "AlwaysShowExt"(拡張子は常に表示)へと変更することも可能です。またこのエントリを削除することも可能です。

上記の改善を有効にするには、ユーザーはWindowsをいったんログオフして、再度ログインする必要があります。


添付ファイル"LIFE_STAGES.TXT.SHS"が起動された場合、ローカルシステム内で以下の挙動が発生します。

  • "LIFE_STAGES.TXT.VBS"が抜出され、TEMPフォルダで実行されます。

  • OutLookなどのMAPI Eメールを使って、自分自身を送付します。送付先の総数はランダムなものになります。

  • REGEDIT.EXEファイルが、Windowsフォルダからごみ箱へ、RECYCLED.VXDとして、移動されます。レジストリタイプのファイルがインポートされたり使用されたりした時に、移動されたファイルが使われるよう、レジストリが改変されます。

  • ローカルシステムとすべての使用可能なドライブに、ランダムな名前のファイルを作成します。

      c:\WINDOWS\[マシン名].acl
      c:\WINDOWS\SYSTEM\MSINFO16.TLB
      c:\WINDOWS\SYSTEM\SCANREG.VBS
      c:\WINDOWS\SYSTEM\VBASET.OLB
      c:\RECYCLED\DBINDEX.VBS
      c:\RECYCLED\MSRCYCLD.DAT
      c:\RECYCLED\RCYCLDBN.DAT
      c:\RECYCLED\RECYCLED.VXD (実際にはREGEDIT.EXE)

      以下に示すのは、ランダムに生成されるファイル名の例です。

      c:\report.txt.shs
      c:\My Documents\IMPORTANT.TXT.SHS
      c:\WINDOWS\LIFE_STAGES.TXT.SHS
      c:\WINDOWS\Start Menu\Programs\unknown_805.txt.shs

    上記のランダムなファイル名は以下のアルゴリズムを用いて作成されます。

    ([ランダム部分 1] + [ランダム部分 2] + [ランダム部分 3]) + TXT + SHS.

    [ランダム部分1]は以下のいずれかから選択されます。

    "IMPORTANT"
    "INFO"
    "REPORT"
    "SECRET"
    "UNKNOWN"

    [ランダム部分2]は以下のいずれかから選択されます。

    "-"
    "_"

    [ランダム部分3]は0 - 999までの乱数です。

    上記のアルゴリズムにより、10,000通りの異なるファイル名が作成可能です。

  • Windows起動時にSCANREG.VBSを動作させるよう、レジストリを改変します。

  • ICQローディング時にDBINDEX.VBSを動作させるよう、レジストリを改変します。

  • REGEDITタイプのファイルを起動するコールがかかった際に、RECYCLED.VXDを起動するようレジストリを改変します。

  • MIRC.INIを改変して、PIRCH、mIRCインストールのための補助スクリプトがロードされるようにします。

  • Windows再起動時に、SCANREG.VBSの働きにより、WINDOWSフォルダにSOUND32B.DLLが作成されます。SOUND32B.DLLはMIRC.INIによって呼び出される補助スクリプトです。SOUND32B.DLLには、IRCチャンネルへの接続時に、LIFE_STAGES.TXT.SHSファイルを送り込むような命令が含まれています。

  • 以下のレジストリ設定が変更されます。(システム修復時には、レジストリ設定を「改変後」から「改変前」の状態に戻してください)

    HKLM\Software\CLASSES\regfile\DefaultIcon
    Value "@":
    「改変前」:"C:\WINDOWS\regedit.exe,1"
    「改変後」:"C:\RECYCLED\RECYCLED.VXD,1"

    HKLM\Software\CLASSES\regfile\shell\open\command
    Value "@":
    「改変前」:"regedit.exe "%1""
    「改変後」:"C:\RECYCLED\RECYCLED.VXD "%1""

  • 以下のレジストリが作成されます(システム修復時にはこれらのキーを削除します)。

    HKU\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\ICQ\
    Parameters="C:\RECYCLED\DBINDEX.VBS"

    HKU\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\ICQ\
    Path="C:\WINDOWS\WSCRIPT.EXE"

    HKU\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\ICQ\
    Startup="C:\WINDOWS"

    HKLM\Software\CLASSES\txtfile\
    AlwaysShowExt=""

    HKLM\Software\Microsoft\Windows\CurrentVersion\
    OSName="Microsoft Windows"

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
    ScanReg="C:\WINDOWS\WSCRIPT.EXE C:\WINDOWS\SYSTEM\SCANREG.VBS"


このウイルスは「ごみ箱」の中にREGEDIT.EXEをRecycled.vxdとリネームして移動します。このファイルを検出するために、ウイルススキャンのウイルス検出「除外」対象から、「ごみ箱」の指定を外してください。

ウイルス修復時には、このRECYCLED.VXDをREGEDIT.EXEにリネームして、Windowsフォルダに戻してください。

「ごみ箱」を空にした場合、REGEDITファイル(RECYCLED.VXD)が削除されます。REGEDITを復旧するには、非感染マシンからREGEDIT.EXEファイルを入手し、そのファイルをWINDOWSフォルダにコピーしてください。


IRC/Stagesウイルスの修復方法(レジストリ修復ツール付き)

上記ツールを用いた修復手順

  1. レジストリ修復ツールをダウンロードして、stagecln.regを適当なフォルダ(例:c:temp)などに解凍して下さい

  2. VirusScan(エンジンv4.0.50+DAT4082以降)で全てのファイルを検査し、検出したファイルを全て削除する。

  3. \RECYCLEDフォルダの「recycled.vxd」ファイルを\WINDOWSまたは\WINNTフォルダにコピーし、「regedit.exe」とリネームする。

  4. このページよりダウンロードしたレジストリ修復ツール(stagecln.reg)を、エクスプローラなどを使って、先程リネームした「regedit.exe」にドラッグアンドドロップしてください。

    注:この時点では、recycled.vxdが作動しているので、stagecln.regをダブルクリックしても正しく修復できません。ドラッグ&ドロップが必要になります。

  5. mIRCをご利用になっている場合、インストール先のMIRC.INIを削除し、オリジナルのMIRC.INIに置き換えてください。

  6. 再起動してください。以上で修復は完了です。