製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:T
ウイルス情報
ウイルス情報

ウイルス名
VBS/TripleSix@MM
危険度
対応定義ファイル4049 (現在7495)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付)99/10/19
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/09Downloader.g...
07/09RDN/Download...
07/09RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7495
 エンジン:5600
 
ウイルス検索
 




この VisualBasic-Script ウイルスは、電子メールの添付ファイルとして自己を配布し、2つの有名な IRC クライアントの起動を試みる。電子メールの“送信先”は常に空欄で、件名は次のようになる。

666 test

電子メールの本文には、ZIP ファイル"666TEST.ZIP"(78281 バイト)と次の文が含まれる。

Does your name add up to 666 in ASCII characters?
Are you going to go to hell?

添付された ZIP ファイルは1つの VBS スクリプト"666TEST.VBS"を圧縮したものである。Windows Script ホスト(Windows98 と Windows2000 のインストール時にデフォルトでインストールされる)に対応したシステム上でこの ZIP ファイルを解凍および実行すると、一定のゲーム メッセージが必ず表示される。

"Does your name add up to 666?"
"This handy little tool will tell you what your name adds up to in ASCII characters (without including spaces and without converting numbers to ASCII). It is just for fun, it does not mean you are going to go to hell if you get a 666. You should probably read the bible if you are concerned about that."

"Enter your name. Also try names from your family and friends. And if you want something interesting try BILL GATES 3 (Bill's real name is Bill Gates the third) and HOLY BIBLE. Press Cancel or Ok without entering any name to exit."

ゲーム ボックスが表示されている限りタスクが中断され、このウイルスはそのコードをそれ以上実行しない。CANCEL をクリックするか、別の方法でゲーム ボックスを終了させると、この暗号化されたウイルスは処理を再開し、システムに以下のファイルをドロップ(作成)する。

%windows%\system\REGSVR.VBS (落とし込まれた IRC インストーラ。レジストリ キーはあらゆる Windows スタートアップで動作するよう設定されている)

C:\WINDOWS\TEMP\WINTEMP.EXE (DOS 版 PKZIP バージョン2.5。ウイルスの本体からバイナリに解凍される)
C:\WINDOWS\TEMP\WINTEMP1.BAT
C:\WINDOWS\TEMP\WINTEMP2.BAT
C:\WINDOWS\TEMP\WINTEMP.txt
%windows%\system\WINSWAP.SWP

TEMP ディレクトリからこれらのファイルを使用すると、このウイルスのコピー(%windows%\666TEST.ZIP という名前の ZIP ファイル)がローカル ドライブに作成され、今後はこのコピーを使用する。この後、一時ファイルが削除される。

初回の自動時に、以下のレジストリ キーがまだ設定されていない場合、

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
RegistrySvr="...\REGSVR.VBS"

そして同時に MS Outlook98 または MS Outlook2000 が動作している場合、すべての Outlook のアドレス帳(グローバル アドレス帳、個人アドレス帳、連絡先など)に載っている全エントリを検索の上、受信者リストを作成する。このウイルスが添付されているメールのBCC (このため、宛先には表示されない)にこのリストが使用される。

落とし込まれたファイル"RegSvr.vbs"は、このレジストリにインストールされ、Windows の起動時に自動的に起動する。再起動後にこのファイルが実行されると、C:\MIRC、C:\MIRC32、C:\PIRCH、C:\PIRCH98 から実行可能ファイル Mirc32.exe と Pirch98.exe を探すことによって、2つの IRC クライアントを探す。IRC が1つインストールされていることがわかれば、適切な INI スクリプト(Script.ini あるいは Events.ini)がこの場所に落とし込まれる。クライアント ソフトウェアがこれらのスクリプト コマンドに対応していれば、次回の IRC セッション中にユーザがあるチャンネルに参加すると、このウイルスの ZIP ファイル"%Windows%\666TEST.ZIP"が DCC 経由で送信される。5日に Windows を起動すると、TV 番組“シンプソンズ”のキャラクターの bitmap 画像が作成され、壁紙としてインストールされる。