製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:W
ウイルス情報
ウイルス名危険度
VBS/Waterworks.worm
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4246 (現在7599)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名Vbs.Evion :VBS_EVION.A (Trend)
情報掲載日03/02/05
発見日(米国日付)03/02/02
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/21W32/Akbot!35...
10/21RDN/Generic ...
10/21RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7599
 エンジン:5600
 
ウイルス検索
 




ウイルスの特徴TOPに戻る

.VBS/Waterworks.wormはVBScriptウイルスで、ローカルシステムやネットワークドライブのファイルの上書きや、mIRC(Internet Relay Chat)アプリケーションを介して繁殖します。一般に出回っていることは確認されていません。

・VBS/Waterworks.wormが実行されると、以下のファイルに自身をコピーします。

●c:\Win32 Strt.exe.vbs
●%WinDir%\jokes.htm (HTMLバージョン)
●%WinDir%\winupdate.exe (mIRCスクリプト)
●%SysDir%\BootLoader.exe.vbs
●%SysDir%\winhelp32.exe (HTMLバージョン)

・以下のレジストリ実行キーを作成します。
●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "BootLoader" = %SysDir%\BootLoader.exe.vbs
●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "Win32 Strt.EXE" = \Win32 Strt.exe.vbs

・すべてのローカルシステムおよびマップされたドライブにある、以下の拡張子を持つファイルを上書きします。

●ASP
●HTA
●HTM
●HTX
●HTML
●VBS

・mIRC SCRIPT.INIファイルはコードで上書きされ、他のユーザが感染ユーザと同じIRCチャネルに参加すると、%WinDir%\jokes.htmファイルが送信されます。このSCRIPT.INIファイルは、上記の定義ファイルを使用するとMIRC/Genericとして検出されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・VBS/Waterworks.wormには、以下の特定の3日に発動する発病ルーチンがあります。

・10月15日には、“my b-day”というメッセージボックスに、“happy birthday kefi”と表示されます。

・11月23日には、“11/23!"というメッセージボックスに、“holy sh*t! it's 11/23!”と表示されます。

・12月25日には、“kefi [rRlf]”というメッセージボックスに、“Organized religion controls the world.”と表示されます。

・上記以外の日には、デスクトップに“%day% - %month%.vir.txt”という名前のテキストファイルが保存されます。(例:4 - 2.vir.txt)このファイルは、以下のテキストを含んでいます。

today you did not experience the payload of Vbs.Evion

sorry..

kefi [rRlf]

感染方法TOPへ戻る

・VBS/Waterworks.wormは、フロッピーディスクドライブ、ローカルドライブ、リモートドライブのファイルを上書きして繁殖します。また、mIRCを介しても繁殖します。