ウイルス情報

ウイルス名

W97M/Story

危険度
対応定義ファイル 4033 (現在7634)
対応エンジン  (現在5600) 
エンジンバージョンの見分け方
別名 W97M/IRCJack, W97M/Jack
発見日(米国日付) 99/06/17


 

新種ウイルスW97M/Storyへの対応のお知らせ(99/07/05)


W97M/Storyという新種ウイルスが発見されました。このウイルスはIRC(インターネット・リレー・チャット)を利用して自分を配布するという新しい感染形態を有しています。 mIRCという(米国では定番の)IRCクライアントソフトがインストールされていた場合、"C:\MIRC\SCRIPT.INI"というスクリプトが落とし込まれます。このウイルスは現時点で日本での被害報告はありません(弊社調べ)


予防方法

PSW.Kuang2や本ウイルスのように、ウイルス駆除ソフトの名を騙ってウイルスを送るという手口が最近、多発しています。そうした手口に騙されないよう、不審な添付ファイルはオープンしないことを習慣づけてください。どうしてもオープンしなければならない場合は、ワクチンソフトに最新のウイルスDATファイルを組み合わせて検査してからにしてください。


ウイルス情報

Word97文書に感染するウイルスです。Word 97のSR-1リリースでは感染しません。ステルス性(自己隠蔽性)を有しており、マクロ表示コマンドに中間介入して、ウイルスモジュールを表示させないようにします。このウイルスはThisDocumentというモジュールから構成されます。またWordのマクロ警告機能をオフにします。このウイルスにはJack-In-The-Box(びっくり箱)というテキストが含まれています。ただしこのテキストが表示されることはありません。またmIRCというIRCクライアント用のスクリプトを含んでいます。 mIRCがインストールされている場合、"c:\mirc\script.ini"というスクリプトが落とし込まれます。


発病について

ユーザーがIRCサーバに接続した場合、ユーザーの通知リストにSimpleSmn を追加します。この通知リストは、IRCへの接続時に通知をうける人々の一覧です。Storyウイルスは、C:\WINDOWS\SCRIPT1.INIというファイル名でこのスクリプトのバックアップを保存します。これはmIRCの動作中にスクリプトが消去された場合に備えたものと思われます。

ユーザーが/BYと入力した場合、以下の文字が様々な色で表示されます。

Mirc Worm Jack-In-The-Box <<>>

ここで、通知リストに載っている誰かがIRCに参加した場合、ウイルスは参加者の名前がSimpleSmnであるかどうかを調べます。そうであった場合は、ウイルスは"I'm on IRC"(今IRCやっていますよ)というメッセージを送ります。そうでない場合は、ウイルスはmIRCに参加者を無視させ、その参加者から届くメッセージをそれ以上表示させません。そしてしばらくして、以下のようなメッセージを送付します。

"Hey, I can't talk right now but I wanted to send you this file. It has a funny story you should read, and also has macros inside that protect you from a lot of viruses. Just open the document, enable the macros, and if you are infected it will get rid of the virus"
(今ちょっと話ができないんだけど、とりあえずこのファイルを送るよ。面白い話が書いてあるから読んだ方がいいと思うな。あと、ファイルにはマクロが入ってるけど、そいつは君をウイルスから守るためのものなんだ。文書を開くときは、マクロを有効にしておいてくれ。そうすればウイルスに感染しても、そのマクロが駆除してくれるから)

それからしばらくして、ウイルススクリプトにより、

c:\windows\story.docというファイルが参加者に送付されます。そしてヒストリ画面がクリアされます。通知リストに参加している人がIRCを離れた場合も、ヒストリ画面がクリアされます。helpまたはnohackと呼ばれる人を含むチャンネルに誰かが参加してきた場合は、そのチャンネルを離れ、c:\mirc\script.iniを削除します。

なおStoryに感染したユーザーが、任意の人からファイルを受信した場合ウイルスは速やかに、C:\WINDOWS\STORY.DOCを送付します。

誰かがStory感染ユーザーをチャンネルに招き入れた場合、しばらくして、"Thanks for the invite" (お招きありがとう)というメッセージが送ら、その後、そのユーザーからのメッセージは表示されません。しばらくして以下のようなメッセージが送られます。

"I'm a little busy so I can't talk much now. I thought you might want to look at this file I got. It has a funny story and also has macros in it which get rid of any macro viruses. Just enable the macros when the prompt comes up and it will scan for any viruses and clean them."
「ちょっと忙しいので、詳細ははぶくけど、最近手に入れたこのファイルには面白いことが書いてあるから、たぶん君も見たいんじゃないかと思うな。ちなみにこのファイルにはマクロが入ってるけど、それはマクロウイルスを取り除くためのものなんだ。プロンプトが出たらマクロを有効にしておいてくれ。そうすればウイルスを検査してそれを駆除してくれるから」

それからしばらくして、スクリプトの働きにより、Story感染ファイルc:\windows\story.docがその人に送られます。さらにヒストリ画面がクリアされます。

誰かがSimplicityという私信(Private Notice)を送った場合、その人には、ハードディスクへのフル・アクセスが付与されます。"script", "worm", "Jack[任意の数のキャラクタ]Box", "virus", "infect", "macro" または "Story.doc" と述べた場合には、それは無視され、そのユーザーからのメッセージはそれ以上画面に表示されません。 誰かが"Hi", "!", "Hey", または"Hello"と述べた場合は、ウイルスにより、以下のうちいずれかの接続がオープンされます。

  • mirc.com
  • georgecarlin.com
  • carrottop.com
  • anvdesign.net
  • symantec.com
  • drsolomon.com
  • www.bocklabs.wisc.edu
  • ebay.com
また以下のうちいずれかのアドレスに電子メールが送られます。
  • evrt@avp.com
  • samples@datafellows.com
  • virus_research@nai.com
  • tech_support@nai.com
件名と送信元はランダムになります。メール本文は、"Jack-In-The-Box Has Popped Up Again!"(びっくり箱がまた開いたよ)になります。
対処方法

エンジン・バージョン4以上の場合
最新のDATファイルを使えば検出と駆除が可能です。

DATファイルダウンロード

エンジン・バージョン3.2.0以上の場合
最新のβ DATファイルを使えば検出と駆除が可能です。

DATファイルダウンロード

エンジン・バージョンの見分け方

* 冒頭IRC用語解説については、ASCII社のWebサイト「ASCII Glossary Help」へのリンクです。