ウイルス情報

ウイルス名

VBS/TripleSix@MM

危険度
対応定義ファイル 4049 (現在7652)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
発見日(米国日付) 99/10/19


この VisualBasic-Script ウイルスは、電子メールの添付ファイルとして自己を配布し、2つの有名な IRC クライアントの起動を試みる。電子メールの“送信先”は常に空欄で、件名は次のようになる。

666 test

電子メールの本文には、ZIP ファイル"666TEST.ZIP"(78281 バイト)と次の文が含まれる。

Does your name add up to 666 in ASCII characters?
Are you going to go to hell?

添付された ZIP ファイルは1つの VBS スクリプト"666TEST.VBS"を圧縮したものである。Windows Script ホスト(Windows98 と Windows2000 のインストール時にデフォルトでインストールされる)に対応したシステム上でこの ZIP ファイルを解凍および実行すると、一定のゲーム メッセージが必ず表示される。

"Does your name add up to 666?"
"This handy little tool will tell you what your name adds up to in ASCII characters (without including spaces and without converting numbers to ASCII). It is just for fun, it does not mean you are going to go to hell if you get a 666. You should probably read the bible if you are concerned about that."

"Enter your name. Also try names from your family and friends. And if you want something interesting try BILL GATES 3 (Bill's real name is Bill Gates the third) and HOLY BIBLE. Press Cancel or Ok without entering any name to exit."

ゲーム ボックスが表示されている限りタスクが中断され、このウイルスはそのコードをそれ以上実行しない。CANCEL をクリックするか、別の方法でゲーム ボックスを終了させると、この暗号化されたウイルスは処理を再開し、システムに以下のファイルをドロップ(作成)する。

%windows%\system\REGSVR.VBS (落とし込まれた IRC インストーラ。レジストリ キーはあらゆる Windows スタートアップで動作するよう設定されている)

C:\WINDOWS\TEMP\WINTEMP.EXE (DOS 版 PKZIP バージョン2.5。ウイルスの本体からバイナリに解凍される)
C:\WINDOWS\TEMP\WINTEMP1.BAT
C:\WINDOWS\TEMP\WINTEMP2.BAT
C:\WINDOWS\TEMP\WINTEMP.txt
%windows%\system\WINSWAP.SWP

TEMP ディレクトリからこれらのファイルを使用すると、このウイルスのコピー(%windows%\666TEST.ZIP という名前の ZIP ファイル)がローカル ドライブに作成され、今後はこのコピーを使用する。この後、一時ファイルが削除される。

初回の自動時に、以下のレジストリ キーがまだ設定されていない場合、

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
RegistrySvr="...\REGSVR.VBS"

そして同時に MS Outlook98 または MS Outlook2000 が動作している場合、すべての Outlook のアドレス帳(グローバル アドレス帳、個人アドレス帳、連絡先など)に載っている全エントリを検索の上、受信者リストを作成する。このウイルスが添付されているメールのBCC (このため、宛先には表示されない)にこのリストが使用される。

落とし込まれたファイル"RegSvr.vbs"は、このレジストリにインストールされ、Windows の起動時に自動的に起動する。再起動後にこのファイルが実行されると、C:\MIRC、C:\MIRC32、C:\PIRCH、C:\PIRCH98 から実行可能ファイル Mirc32.exe と Pirch98.exe を探すことによって、2つの IRC クライアントを探す。IRC が1つインストールされていることがわかれば、適切な INI スクリプト(Script.ini あるいは Events.ini)がこの場所に落とし込まれる。クライアント ソフトウェアがこれらのスクリプト コマンドに対応していれば、次回の IRC セッション中にユーザがあるチャンネルに参加すると、このウイルスの ZIP ファイル"%Windows%\666TEST.ZIP"が DCC 経由で送信される。5日に Windows を起動すると、TV 番組“シンプソンズ”のキャラクターの bitmap 画像が作成され、壁紙としてインストールされる。