Kaspersky Threats — TripleSix

クラス

プラットフォーム

説明

技術的な詳細

これは、Visual Basic Script Language（VBS）で書かれたワームです。このワームは、電子メールとIRC（Internet Relay Chat）チャネルを介して拡散します。

ワームのスクリプトを実行するとメッセージが表示されます：



あなたの名前は666になりますか？

この便利な小さなツールはあなたの名前がASCIIで追加するものをあなたに伝えます

文字（スペースを入れずに数字を変換することなく

ASCII）。それはちょうど楽しみのためであり、地獄に行くつもりはない

もしあなたが666を手に入れたら、おそらく聖書を読むべきです。

そのことについて。

次に、ユーザーに名前を入力し、入力されたテキストのASCIIコードの合計を数えます：



あなたの名前は666になりますか？

あなたの名前を入力してください。また、あなたの家族や友人の名前を試してみてください。そしてもしあなたが

興味深いものが欲しいBILL GATES 3（Billの本名はBill

ゲイツ第三）と聖なる聖書。キャンセルやOKを入力せずに

終了する名前。

空のテキストが入力されると、ワームはその拡散ルーチンに進みます。最初に、このルーチンは内部にZIPアーカイブを作成します。アーカイブを作成するために、ワームはテキストベースの暗号化形式でワーム本体に格納された "pkzip"ユーティリティを使用し、実行前に解読します。その後、ワームはWindowsディレクトリに "666TEST.ZIP"という名前のアーカイブを作成します。

ワームが作成する別のファイルは、Windowsシステムフォルダ内の「REGSVR.VBS」です。このワームは、Windowsの起動時にこのスクリプトを実行するようにシステムレジストリを変更します。

このスクリプトを実行すると、コンピュータ上のすべてのディスクドライブが列挙され、次のフォルダがチェックされます。



MIRC

MIRC32

ピーチ

PIRCH98

ワームはMIRCまたはPIRCH（一般的なIRCクライアント）の実行可能ファイルである内部チェックフォルダまたはそのサブフォルダが見つかった場合、見つかったIRCクライアント用のスクリプトを作成し、ワームを含む666TEST.ZIPファイルをIRCチャネルに参加したすべてのクライアントに送信します。

それはまたシステムの日付をチェックし、毎月の5月に悲しい顔のタイル漫画の画像でデスクトップの壁紙を変更します。

最後に、このワームは、「Melissa」マクロウイルスと同じ方法で、MS Outlook itnを使用して電子メールを介して感染を試みます。ワームに感染したメッセージには、ワームスクリプトが入った "666TEST.ZIP"アーカイブが添付されています。メッセージの件名は「666テスト」で、本文は「>あなたの名前はASCII文字で666になりますか？地獄に行きますか？」

このワームは、1台のコンピュータから2回は感染しません。重複した拡散を防ぐために、システムレジストリにキーを作成します。



"HKEY_LOCAL_MACHINESoftwareMIRC / OUTLOOK / PIRCH.VanHouten" = "True"

オリジナルへのリンク

クラス	Virus
プラットフォーム	VBS
説明	技術的な詳細これは、Visual Basic Script Language（VBS）で書かれたワームです。このワームは、電子メールとIRC（Internet Relay Chat）チャネルを介して拡散します。ワームのスクリプトを実行するとメッセージが表示されます：あなたの名前は666になりますか？この便利な小さなツールはあなたの名前がASCIIで追加するものをあなたに伝えます文字（スペースを入れずに数字を変換することなく ASCII）。それはちょうど楽しみのためであり、地獄に行くつもりはないもしあなたが666を手に入れたら、おそらく聖書を読むべきです。そのことについて。次に、ユーザーに名前を入力し、入力されたテキストのASCIIコードの合計を数えます：あなたの名前は666になりますか？あなたの名前を入力してください。また、あなたの家族や友人の名前を試してみてください。そしてもしあなたが興味深いものが欲しいBILL GATES 3（Billの本名はBill ゲイツ第三）と聖なる聖書。キャンセルやOKを入力せずに終了する名前。空のテキストが入力されると、ワームはその拡散ルーチンに進みます。最初に、このルーチンは内部にZIPアーカイブを作成します。アーカイブを作成するために、ワームはテキストベースの暗号化形式でワーム本体に格納された "pkzip"ユーティリティを使用し、実行前に解読します。その後、ワームはWindowsディレクトリに "666TEST.ZIP"という名前のアーカイブを作成します。ワームが作成する別のファイルは、Windowsシステムフォルダ内の「REGSVR.VBS」です。このワームは、Windowsの起動時にこのスクリプトを実行するようにシステムレジストリを変更します。このスクリプトを実行すると、コンピュータ上のすべてのディスクドライブが列挙され、次のフォルダがチェックされます。 MIRC MIRC32 ピーチ PIRCH98 ワームはMIRCまたはPIRCH（一般的なIRCクライアント）の実行可能ファイルである内部チェックフォルダまたはそのサブフォルダが見つかった場合、見つかったIRCクライアント用のスクリプトを作成し、ワームを含む666TEST.ZIPファイルをIRCチャネルに参加したすべてのクライアントに送信します。それはまたシステムの日付をチェックし、毎月の5月に悲しい顔のタイル漫画の画像でデスクトップの壁紙を変更します。最後に、このワームは、「Melissa」マクロウイルスと同じ方法で、MS Outlook itnを使用して電子メールを介して感染を試みます。ワームに感染したメッセージには、ワームスクリプトが入った "666TEST.ZIP"アーカイブが添付されています。メッセージの件名は「666テスト」で、本文は「>あなたの名前はASCII文字で666になりますか？地獄に行きますか？」このワームは、1台のコンピュータから2回は感染しません。重複した拡散を防ぐために、システムレジストリにキーを作成します。 "HKEY_LOCAL_MACHINESoftwareMIRC / OUTLOOK / PIRCH.VanHouten" = "True"
	オリジナルへのリンク

Virus.VBS.TripleSix

技術的な詳細