ウイルス情報

ウイルス名

VBS/Scary.A@mm

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4102
対応定義ファイル
(現在必要とされるバージョン)
4102 (現在7634)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 00/11/09
発見日(米国日付) 00/10/27
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


  • VBS/Scary.A@mmは、VBScriptで作成されたウイルスです。

  • このウイルスには、MAPI電子メールを介して自身を配信するコードが含まれています。

  • このスクリプトがロードされると、ユーザをだましてウイルスコードを実行させようとして、次のような挑発的な命令が表示されることがあります。
      This HTML files needs ActiveX objects to operate.
      Please click 'Yes' to enable ActiveX
      (このHTMLファイルを実行するには、ActiveXオブジェクトが必要です。
      ActiveXを使用可能にするには'Yes'をクリックしてください。)

      さらに、ActiveXを実行する前にプロンプトが表示されるようにIEを設定すると、次のメッセージボックス警告が表示されます。

    ____________________
    Internet Explorer
    Some software (ActiveX controls) on this page might be unsafe. It is recommended that you not run it. Do you want to allow it to run?
    (このページにあるソフトウェア(ActiveXコントロール)の中には、危険なものがあります。それらのソフトを実行しないことをお勧めします。実行しますか?)
    ____________________

  • この警告メッセージは、符号なしのActiveXコントロールを実行するエクスプロイトを使用するという脅威をユーザに与えます。

  • ユーザが"No"を選択して、実行を禁止すると、ActiveXコードは実行されなくなりますが、スクリプト内にある他の命令は処理されます。

  • ユーザが"Yes"を選択すると、電子メールルーチンが起動します。電子メールルーチンが起動すると、自身を次の形式で送信します。

    Subject = The Secret of Life
    Attachment = SCARE.HTM

  • Outlookによってパスワード情報が詐取され、電子メールで配信されているかのようにユーザに思わせるために、大量のメッセージボックスが表示されます。また、ユーザに対して次の質問が表示されます。

    Genie of all secrets
    So did you learn your lesson?
    [YES] [NO]

  • [YES]を選択すると、このスクリプトによって WindowsのSYSTEMフォルダに無害のWinGen.dllというファイルが書き込まれます。このファイルが存在すると、電子メールルーチンは起動しません。他のメッセージが続いて表示され、スクリプトが終了します。

  • [NO]を選択すると、他のメッセージが表示され、WinGen.dllファイルは作成されません。Windows起動時に、このスクリプトが起動して、このファイルを検索できない場合は、電子メールルーチンを実行しようとします。

  • ローカルマシンにあるWindowsのStartupフォルダにSCARE.HTMファイルを作成します。

  • WindowsフォルダにGodzillaパスを作成します。