ウイルス情報

ウイルス名

VBS/Timofonica

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4082 (現在7656)
対応エンジン 4.0.50以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Timofonica
Telefonica.com
Timofonica
Trojan.Timo
VBS/Timo-A
情報掲載日 00/06/07
発見日(米国日付) 00/06/05
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


これはMAPIを使って新たなホストシステムへと繁殖してゆくVBSウイルスです。流暢なスペイン語で書かれた不信なメッセージをユーザーへと届けて行きます。Movistar.net Telephone E-mailに登録しているユーザーは、このウイルスに感染したユーザーから通知メールを受け取ることがあります。このウイルスには破壊的な発病ルーチンがあります。

このウイルスは、Eメールの添付ファイルの形式で到着します。添付ファイルが実行された場合、そのファイルのコピーがローカルシステムに書き込まれます。そしてOUTLOOKアドレス帳のすべてのユーザーに自分自身を送付します。

Eメールのメッセージは以下のような形式になっています。

件名"TIMOFONICA"
本文"Es de todos ya conocido el monopolio de Telefonica pero no tan conocido los metodos que utilizo para llegar hasta este punto."
"En el documento adjunto existen opiniones, pruebas y direcciones web con mas informacion que demuestran irregularidades en compras de materiales, facturas sin proveedores, stock irreal, etc."
"Tambien habla de las extorsiones y favoritismos a empresarios tanto nacionales como internacionales. Explica tambien el por que del fracaso en Holanda y que hizo para adquirir el portal Lycos."
"En las direcciones web del documento existen temas relacionados para que echeis un vistazo a los comentarios, informes, documentos, etc."
"Como comprendereis, esto es muy importante, y os ruego que reenvieis este correo a vuestros amigos y conocidos."
(訳)
テレフォニカ社の独占は誰でも知っていることですが、このような独占状態に至るまでにどのような手段を使ったかについては、あまりよく知られていません。 添付の文書には、資材購入、サプライヤー名のないインボイス、存在しないストック等、不正行為を示す詳しい意見、証拠、HPアドレスが掲載されています。 更に、国内や国外の実業家への、脅迫や優遇措置なども記載されています。 また、オランダで失敗した理由や、インターネット・ポータルのライコスを買収するために何をしたかも説明されています。 このドキュメントのHPアドレスには、関連した話題がありますので、皆さんが、コメント、情報、ドキュメント等に閲覧できるようになっています。 これは非常に重要なことですから、このEメールを皆さんの友人や知人に転送してください。
添付ファイル"C:\TIMOFONICA.TXT.vbs"

この添付ファイルはウイルスファイルです。

このウイルスが実行されている状態で、システムが再起動されると、コピーされたトロイの木馬(下記に詳述)の働きにより、システムから起動用パーティションが削除され、CMOSデータが破壊されます。システムによっては、起動時に以下のメッセージが表示されることもあります。

CMOS Checksum Invalid
CMOS Time & Date Not Set
Press for Setup, to Boot

弊社の試験システムでは、システム日付が1990/1/1に再設定されました。また時刻は深夜に再設定されました。

このウイルスはレジストリの内容を見ることにより、自分がそのシステムに感染済みかどうかをチェックします。

HKCU\Software\Microsoft\Windows\CurrentVersion\ Timofonica

上記レジストリ値が1であるかどうかをチェックします。1以外の値の場合は、コンピュータに対し、以下のアクションを開始します。

  • 上記レジストリの値を1にします。
  • 以下のレジストリ・キーに値を書き込みます。 HKCU\Software\Microsoft\Office\9.0\Outlook\Preferences\ SaveSent = 0

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ Cmos=Cmos.com

  • 自分自身を"C:\TIMOFONICA.TXT.vbs"として書き込みます。

  • 表示用テキストファイルとして"C:\TIMOFONICA.TXT"を書き込みます。

  • Windows/SystemフォルダにCMOS.COMというCOMファイルを書き込みます。これはCMOSを破壊するためのトロイの木馬です。このファイルはWindows再起動時にハードドライブの起動パーティションを削除するものです。システム再起動時にこのCMOS.COMが起動された場合、マシンは使用不可能になります。

  • TIMOFONICA.TXT内部に書かれた政治的なスペイン語メッセージをメモ帳を使って表示します。

  • 拡張子.VBSのファイルを起動した時にCMOS.COMが実行されるようレジストリを改変します。

  • OUTLOOKアドレス帳のすべての宛先に、電子メールを送付します(内容は上記を参照)

  • 最後にEメール機能を備えた電話に向けて通知メッセージを送付します。宛先はランダムに生成されたEメールアドレスになります。Eメールの内容は以下のとおりです。

    件名TIMOFONICA
    本文" informa que: Telefonica te esta enganando."
    (訳)
    報告内容:テレフォニカはあなたをだましている。

    このEメールの宛先アドレスは以下の物になります。

    [ランダムな3桁数字][ランダムな6桁数字]@correo.movistar.net

    最初の三桁の数字は以下の数字のいずれかとなります。 "609","619","629","630","639","646","649","696"

    次の6桁の数字は1から10までの数字をランダムに選択して連結したものになります。メールアドレスは例えば、619987321@correo.movistar.netのようなものになります。

    Movistar.net serviceには以下の記述がなされています。

    「MoviStar Eメールを使えば、携帯電話からもEメールを送ることができます。この場合、ISPから新たにメールアドレスを取得する必要はありません。必要なのはMoviStar携帯電話のみです。」