製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス情報

ウイルス名
VBS/Sorry.a
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4102
対応定義ファイル
(現在必要とされるバージョン)
4102 (現在7535)
対応エンジン4.0.35以降 (現在5600) 
エンジンバージョンの見分け方
別名VBS.Sorry.A, VBS_TTFLOADER.A
情報掲載日01/01/05
発見日(米国日付)00/12/26
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/18W32/Expiro!7...
08/18GenericR-AXH...
08/18Generic.dx!B...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7535
 エンジン:5600
 
ウイルス検索
 




  • このウイルスが動作するには、Windows Scripting Host(Internet Explorer 5の一部)が必要です。

  • このVisual Basic Scriptウイルスが起動すると、自身を"%WinDir%\fonts\ttfload.vbs"にコピーし、次のレジストリを改変します。

    HKLM\Software\Microsoft\Windows\CurrentVersion\
    Run\ttfload=wscript.exe C:\WINDOWS\fonts\ttfload.vbs

    HKCU\Software\Microsoft\Windows Scripting Host\
    Settings\Timeout=0

  • 次に、WINDOWS STARTUPフォルダ内に"ttfload.vbs"と"sndload.vbs"があるか検索します。どちらのファイルもない場合は、実行された.VBSファイルを削除して、"FILE I/O ERROR"というエラーメッセージを表示します。

  • このウイルスは、自身を次のフォルダにコピーします(フォルダ名は、"%WinDir%\Recent"フォルダにあるファイル名に基づいています)。

    "download"
    "downloads"
    "ftproot"
    "mirc"
    "pub"
    "wwroot"
    名前に"my"という文字が含まれるフォルダ
    名前に"share"という文字が含まれるフォルダ
    名前に"upload"という文字が含まれるフォルダ
    名前に"game"という文字が含まれるフォルダ
    名前に"warez"という文字が含まれるフォルダ

  • "chode"、"foreskin"、およびd#ckhairという名前のフォルダを削除して、SCRIPT.INIファイルを改変し、mIRCを介して"%WinDir%\fonts\sndload.vbs"を配信しようとします。

  • 以下のファイルを削除します(以下のファイルは、一般に他の既知ウイルスと関連付けられています)。

    "network.vbs"
    "mscfg.vbs"
    "winsock.vbs"
    "a24.vbs"
    "samples.vbs"
    "mscfg.exe"
    "ashield.pif"
    "netstat.pif"

  • このウイルスは、以下のサブネットからランダムなIPアドレスに対してPINGを送ります。

  • このPINGに対する応答があると、そのコンピュータ上のオープンな共有部分を検索して、ドライブをマッピングし(可能な場合)、"sndload.vbs"をWINDOWS STARTUPフォルダにコピーしてから、マッピングしたドライブとの接続を切断します。

  • ネットワークトラフィックが増加するため、システムのパフォーマンスが低下します。

  • このウイルスが以下のレジストリキーの値を改変して、Internet Explorerのスタートページを改変する確率は、1000分の1です。

    HKLM\Software\Microsoft\Internet Explorer\Main\
    Start=http://www.zonelabs.com/