ウイルス情報

ウイルス名 危険度

VBS/Waterworks.worm

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4246 (現在7656)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 Vbs.Evion :VBS_EVION.A (Trend)
情報掲載日 03/02/05
発見日(米国日付) 03/02/02
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


ウイルスの特徴

.VBS/Waterworks.wormはVBScriptウイルスで、ローカルシステムやネットワークドライブのファイルの上書きや、mIRC(Internet Relay Chat)アプリケーションを介して繁殖します。一般に出回っていることは確認されていません。

・VBS/Waterworks.wormが実行されると、以下のファイルに自身をコピーします。

●c:\Win32 Strt.exe.vbs
●%WinDir%\jokes.htm (HTMLバージョン)
●%WinDir%\winupdate.exe (mIRCスクリプト)
●%SysDir%\BootLoader.exe.vbs
●%SysDir%\winhelp32.exe (HTMLバージョン)

・以下のレジストリ実行キーを作成します。
●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "BootLoader" = %SysDir%\BootLoader.exe.vbs
●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices "Win32 Strt.EXE" = \Win32 Strt.exe.vbs

・すべてのローカルシステムおよびマップされたドライブにある、以下の拡張子を持つファイルを上書きします。

●ASP
●HTA
●HTM
●HTX
●HTML
●VBS

・mIRC SCRIPT.INIファイルはコードで上書きされ、他のユーザが感染ユーザと同じIRCチャネルに参加すると、%WinDir%\jokes.htmファイルが送信されます。このSCRIPT.INIファイルは、上記の定義ファイルを使用するとMIRC/Genericとして検出されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・VBS/Waterworks.wormには、以下の特定の3日に発動する発病ルーチンがあります。

・10月15日には、“my b-day”というメッセージボックスに、“happy birthday kefi”と表示されます。

・11月23日には、“11/23!"というメッセージボックスに、“holy sh*t! it's 11/23!”と表示されます。

・12月25日には、“kefi [rRlf]”というメッセージボックスに、“Organized religion controls the world.”と表示されます。

・上記以外の日には、デスクトップに“%day% - %month%.vir.txt”という名前のテキストファイルが保存されます。(例:4 - 2.vir.txt)このファイルは、以下のテキストを含んでいます。

today you did not experience the payload of Vbs.Evion

sorry..

kefi [rRlf]

TOPへ戻る

感染方法

・VBS/Waterworks.wormは、フロッピーディスクドライブ、ローカルドライブ、リモートドライブのファイルを上書きして繁殖します。また、mIRCを介しても繁殖します。

TOPへ戻る