製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:V
ウイルス情報
ウイルス情報

ウイルス名
VBS/VBSWG.a@mm
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4085
対応定義ファイル
(現在必要とされるバージョン)
4085 (現在7577)
対応エンジン4.0.50以降 (現在5600) 
エンジンバージョンの見分け方
亜種VBS/VBSWG.g@MM, VBS/VBSWG.n@MM, VBS/VBSWG.r@MM, VBS/VBSWG.s@MM, VBS/VBSWG.t.intd, VBS/VBSWG.v@MM, VBS/VBSWG.b, VBS/VBSWG.c
情報掲載日02/03/25
発見日(米国日付)00/06/28
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/29RDN/Generic ...
09/29RDN/Generic....
09/29RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7577
 エンジン:5600
 
ウイルス検索
 




  • VBS/VBSWG.a@mmはインターネットウイルスで、MAPI e-mailと、IRCチャネルに対して改ざんされたmIRC設定ファイルを通して自身を送信することができます。現在まで一般には流出していません。

  • "DS9.vbs"という名前のスクリプトファイルを受け取ったとしたら、それは、"Deep Space Nine"というTV番組を参考にしたものです。このウイルスの他の亜種には、"PICARD.vbs"という名前がありますが、これはおそらくその番組の"Picard"というキャラクター名に由来したものだと思われます。

  • このウイルスは、MAPI e-mailを使用して以下のようなフォーマットで自身を送信しようとします。

    件名:Hi check This...
    本文:Hello..your Game is Over..By Q from Lee
    添付ファイル:Ds9.vbs

  • アドレス帳のすべての受信者に自身を送信後、レジストリを改ざんします。

    "HKCU\software\Ds9\mailed" = "1"

  • このウイルスの作者は、VBS/Loveletterの手法を借りています。

  • MAPI e-mail送信に続いて、すでにインストールされているmIRCをSCRIPT.INIを変更することで改ざんし、"DS9.vbs"ファイルをIRCチャネルにログオンしているユーザーに送信します。

  • 再びレジストリが改ざんされます。

    "HKCU\software\Ds9\Mirqued" = "1"


以下の症状が見れる場合、このウイルスに感染している可能性があります。
  • 上記のようにレジストリが改ざんされている。
  • 上記のようにe-mail繁殖がある。
  • 上記のようにIRCチャネルが分散している。
  • 上記のように、"DS9.vbs"を送信するようにSCRIPT.INIが改ざんされている。
  • Window/System フォルダにDS9.vbsが存在している。

駆除方法TOPへ戻る
  • スクリプト、バッチ、マクロ、非メモリ常駐型:
    検出・駆除には現在のエンジンと定義ファイルを使用してください。

  • PE、トロイの木馬、インターネットワーム、メモリ常駐型:
    検出には対応したエンジンと定義ファイルを使用してください。駆除には、MS-DOS モードまたは、起動ディスクを使用して起動し、command line scanner:SCANPM /ADL /CLEAN /ALL を使用してください。

SCANPM /ADL /CLEAN /ALL

 Additional Windows ME/XP removal considerations

AVERT推薦アップデート


亜種情報

名称種別亜類別相違点
VBS/VBSWG.g@MMウイルスインターネットウイルスこのウイルスは、VBS/Pica.wormとして検出されます。WindowsディレクトリにSillyWorm.vbsファイルを落とし込みます。
レジストリを改ざんします。

HKCU\software\SillyWorm\mailed
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysBoot","wscript.exe windir\SillyWorm.vbs

Outlookを使用してすべてのアドレスリストに以下のメールを送信します。

件名:Here you have, ;o)
本文:Test please do not open
添付ファイル:SillyWorm.vbs

VBS/VBSWG.n@MMウイルスインターネットウイルスこのウイルスは、VBS/Pica.worm.genとして検出されます。Windowsディレクトリにbudweiser-commercial-spring2001.mpeg.vbsファイルを落とし込みます。
レジストリを改ざんします。

HKEY_CURRENT_USER\Software\SP4F "mailog"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"VKW"wscript.exe "windir/budweiser-commercial-spring2001.mpeg.vbs"

Outlookを使用してすべてのアドレスリストに以下のメールを送信します。

件名:Fw: FYI
本文:---------- Forwarded message ----------
Date: Thu, 15 Feb 2001 16:21:42 -0800
From: Mohammed Baget
To: Eugene Spafford
Cc: Mark Sawyer
Subject: Fw: New bud commercial! Spaf, Here's the new budweiser commercial as promised.. - mb Mohammed Baget Head of Communications Budweiser USA
添付ファイル:budweiser-commercial-spring2001.mpeg.vbs

VBS/VBSWG.r@MMウイルスインターネットウイルスこのウイルスは、VBS/Pica.worm.genとして検出されます。WindowsディレクトリにWorm.vbsファイルを落とし込みます。
レジストリを改ざんします。

HKCU\software\VirusAttached\mailed

Outlookを使用してすべてのアドレスリストに以下のメールを送信します。

件名:Automatic Virus Protection
本文:is a html page
添付ファイル:Worm.vbs

すべての.vbsまたは.vbeファイルをウイルス自身のウイルスコードで上書きします。

VBS/VBSWG.s@MMウイルスmIRCウイルスこのウイルスは、VBS/SST@MMとして検出されます。Windowsディレクトリにneo.vbsファイルを落とし込みます。
レジストリを改ざんします。

HKEY_CURRENT_USER\Software\mrtvy_pes "mailed"
HKEY_CURRENT_USER\Software\mrtvy_pes "Mirqued"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Mrtvy_pes" wscript.exe "windir\SYSTEM\neo.vbs"

Outlookを使用してすべてのアドレスリストに以下のメールを送信します。

件名:Matrix 2
本文:(なし)
添付ファイル:(なし)

c:\mircフォルダの中のScript.iniをMIRCチャットを使用してneo.vbsを送るように改ざんします。

VBS/VBSWG.t.intdトロイの木馬インターネットウイルス"Avalon.html.vbs" は機能しません。
VBS/VBSWG.v@MMウイルスインターネットウイルスこのウイルスは、VBS/SST@MMとして検出されます。WindowsディレクトリにMSbugfix2453.txt.vbsファイルを落とし込みます。Cindy12yr.vbsをWindowsシステムディレクトリもに落とし込みます。
レジストリを改ざんします。

HKEY_CURRENT_USER\Software\Cindy "mailed"
HKEY_CURRENT_USER\Software\Cindy "Mirqued"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "win32run" wscript.exe "windir\SYSTEM\Cindy12yr.vbs"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "WinUpdate" wscript.exe "windir\MSbugfix2453.txt.vbs"

Outlookを使用してすべてのアドレスリストに以下のメールを送信します。

件名:(なし)
本文:(なし)
添付ファイル:Cindy12yr.vbs

VBS/VBSWG.bトロイの木馬インターネットウイルスPICARD.VBSは機能しません。
VBS/VBSWG.cトロイの木馬インターネットウイルスOSTERHASE.VBSは機能しません。
VBS/VBSWG.ab@MMウイルスVBScriptこれはVBS/Anjulie.gen@mmとして検出されます。Wielki_bat.vbsをWindows ディレクトリに落とし込みます。
レジストリを改ざんします。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinUpdate, wscript.exe windir\Wielki_bat.vbs
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Wielki_bat\DR21278B
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Wielki_bat\G5FB5D2J

Outlookのすべての宛先にメールを送ります。

件名Patrz co mam!!!
本文Patrz co mam od Gazety Wyborczej Totalizator oszuka3 nas wszystkich. Wza31czniku przysy3amy program umo?liwiaj1cy poznanie wynikow losowania Multilotka juz o 19:00 czyli d3ugo przed losowaniem. Mo?na dzieki temu sporo wygraa. Zasade dzia3ania i czemu on slu?y opiszemy w nied3ugim czasie na 3amach naszego dziennika w artykule "Wielki Bat". £adna sensacja.
添付ファイルWielki_bat.vbs

VBS/VBSWG.ac@MMウイルスインターネットウイルスこれはVBS/VBSWG.gen@mmとして検出されます。alert.vbsをWindows System ディレクトリに落とし込みます。
レジストリを改ざんします。

HKEY_CURRENT_USER\Software\Antistatic "mailed"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "virusalert" wscript.exe windir\SYSTEM\alert.vbs

Outlookのすべての宛先にメールを送ります。

件名Here you have, ;o)
本文Hi: Check This!
添付ファイルalert.vbs

VBS/VBSWG.ad.intd機能しません。
VBS/VBSWG.af@MMウイルスVBScriptこれはVBS/Anjulie.gen@mmとして検出されます。antraxinfo.vbs をWindows System ディレクトリに落とし込みます。
レジストリを改ざんします。

HKCU\software\Antrax\mailed
HKCU\software\Antrax\mirqued HKCU\software\Antrax\pirched
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antraxinfo,wscript.exe windir/system/antraxinfo.vbs

1月26日になると、"Antrax Worm By wAsEk"というメッセージを表示します。

Outlookのすべての宛先にメールを送ります。

件名Antrax Info
本文si no sabes que es el antrax o cuales son sus efectos aqui te mando una foto para que veas los efectos que tiene. Nota:la foto esta un poco fuerte.
添付ファイル(なし)

MIRC chat を通して antraxinfo.vbs を送信するために c:\mirc または c:\mirc32 フォルダにある script.ini を改ざんします。Pirch chat を通して antraxinfo.vbs を送信するために c:\pirch または c:\pirch32 フォルダにある events.ini を改ざんします。