McAfee for Small Businesses

.VBS/Waterworks.wormはVBScriptウイルスで、ローカルシステムやネットワークドライブのファイルの上書きや、mIRC(Internet Relay Chat)アプリケーションを介して繁殖します。一般に出回っていることは確認されていません。

・VBS/Waterworks.wormが実行されると、以下のファイルに自身をコピーします。

●c:\Win32 Strt.exe.vbs
●%WinDir%\jokes.htm (HTMLバージョン)
●%WinDir%\winupdate.exe (mIRCスクリプト)
●%SysDir%\BootLoader.exe.vbs
●%SysDir%\winhelp32.exe (HTMLバージョン)

・以下のレジストリ実行キーを作成します。
●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "BootLoader" = %SysDir%\BootLoader.exe.vbs
●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "Win32 Strt.EXE" = \Win32 Strt.exe.vbs

・すべてのローカルシステムおよびマップされたドライブにある、以下の拡張子を持つファイルを上書きします。

●ASP
●HTA
●HTM
●HTX
●HTML
●VBS

・mIRC SCRIPT.INIファイルはコードで上書きされ、他のユーザが感染ユーザと同じIRCチャネルに参加すると、%WinDir%\jokes.htmファイルが送信されます。このSCRIPT.INIファイルは、上記の定義ファイルを使用するとMIRC/Genericとして検出されます。

・VBS/Waterworks.wormには、以下の特定の3日に発動する発病ルーチンがあります。

・10月15日には、“my b-day”というメッセージボックスに、“happy birthday kefi”と表示されます。

・11月23日には、“11/23!"というメッセージボックスに、“holy sh*t! it's 11/23!”と表示されます。

・12月25日には、“kefi [rRlf]”というメッセージボックスに、“Organized religion controls the world.”と表示されます。

・上記以外の日には、デスクトップに“%day% - %month%.vir.txt”という名前のテキストファイルが保存されます。（例：4 - 2.vir.txt）このファイルは、以下のテキストを含んでいます。

today you did not experience the payload of Vbs.Evion

sorry..

kefi [rRlf]

・VBS/Waterworks.wormは、フロッピーディスクドライブ、ローカルドライブ、リモートドライブのファイルを上書きして繁殖します。また、mIRCを介しても繁殖します。