ウイルス情報

ウイルス名

HLLP/Scrambler.worm.a

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4081 (現在7633)
対応エンジン 4.0.50以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Scrambler.a, VBS/Scramble.worm, W32/Scrambler.dr.a, W32/Scrambler.ini, W32/Scrambler.vbs, W32/Scrambler.worm.a
亜種 W32/Scrambler.worm.b
情報掲載日 00/06/08
発見日(米国日付) 00/05/30
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


これは IRC や電子メールで送られてくる、レベルの高い言語の Internet ウイルスです。あるファイルがこのウイルスに感染すると、MS-DOS ウインドウに以下のメッセージを表示します。

Scrambler
by Gigabyte

感染したユーザは、コンピュータの起動時に Windows が初期化する前に、あるメッセージに気付くと思われます。これは、スタート アップ ファイル WINSTART.BAT の改変によるものです。この改変は、以下のメッセージを表示させるためのものです。

Today..
I'm going to scramble your mind..

このウイルスは、mIRC クライアントを介して IRC チャンネルに参加するとき、自らを送信するために、既存の設定ファイル SCRIPT.INI を改変します。

このウイルスは MAPI 対応の電子メール(Outlook)で、自らの配布を試みます。

このウイルスのもうひとつの副作用は、MP3 ファイルの悪用と改変です。また MP3 プレイヤーでプレイできなくなるような被害を、このファイルに対して与えることもあります。

ローカル コンピュータに SCRAM.SYS ファイルが存在すること。電子メールや IRC での蔓延。
感染したプログラム(NOTEPAD.EXE など)の実行を試みると、MS-DOS ボックスが開き、以下のメッセージが表示されます。

Scrambler
by Gigabyte

感染したプログラム(NOTEPAD.EXE など)は、ロードを続行しません。

感染したファイルが、あるホスト システムで初めて実行されると、そのファイルは Windows フォルダから使用可能なファイルを検索します。候補となるファイルが見つかると、このウイルスはみずからをそのファイルに追加します。このウイルスはまた、ランダムに名前をつけたファイル(73,728 バイト)をWindows\system フォルダに作成します。これは、このウイルスをドロップ(作成)するためのファイルです。ファイル名は"hhehi.exe"のような名前に類似したものになります。

次に、このウイルスは"SCRIPT.INI"というスクリプト ファイルを検索します。このファイルは mIRC (Internet Relay Chat)といっしょにインストールされます。このウイルスは、c:、d:、e: ドライブで、"mirc"や"progra~1\mirc"フォルダの中を検索します。SCRIPT.INI 設定ファイルが見つかれば、このウイルスによって書かれたコピーと置き換えられます。このコピーは、チャット ルームに参加したとき、Windows\system フォルダから、上記のウイルスをドロップ(作成)するためのファイルを送信します。

次に、このウイルスは"SCRAM.SYS"というテキスト ファイルをWindows\system フォルダの中に書き込みます。このテキスト ファイルは、

Scrambler
by Gigabyte

というテキストだけを含んでいます。

最後にこのウイルスは、"SCRAMBLER.VBS"という一時ファイルを Windows\system に書き込み、このファイルを実行します。これは VBScript で書かれた Windows Scripting Host (WSH) プログラムであり、WSH がインストールされている場合に実行します。 デフォルトでは、このファイルは Win95/WinNT には存在しませんが、IE5 あるいは Visual C++/Studio がインストールされていると、VBScript アプリケーションもサポートされるようになります。

SCRAMBLER.VBS は使用可能なすべてのアドレス帳の上位90の受信者に、MAPI 対応の電子メール(Outlook) を使ってウイルスをドロップ(作成)するファイルを送信するためのコードを含んでいます。その電子メールは以下のフォーマットのものです。

件名="Check this out, it's funny!"
添付ファイル=filename.exe

上記の"filename.exe"は、Windows\system フォルダにあるランダムに作成された、ウイルスをドロップ(作成)するためのファイルを表わしています。この電子メールが送信された後、SCRAMBLER.VBS は自らを削除することで自滅します。