本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Virus.VBS.TripleSix

クラス Virus
プラットフォーム VBS
説明

技術的な詳細

これは、Visual Basic Sc​​ript Language(VBS)で書かれたワームです。このワームは、電子メールとIRC(Internet Relay Chat)チャネルを介して拡散します。

ワームのスクリプトを実行するとメッセージが表示されます:


あなたの名前は666になりますか?
この便利な小さなツールはあなたの名前がASCIIで追加するものをあなたに伝えます
文字(スペースを入れずに数字を変換することなく
ASCII)。それはちょうど楽しみのためであり、地獄に行くつもりはない
もしあなたが666を手に入れたら、おそらく聖書を読むべきです。
そのことについて。

次に、ユーザーに名前を入力し、入力されたテキストのASCIIコードの合計を数えます:


あなたの名前は666になりますか?
あなたの名前を入力してください。また、あなたの家族や友人の名前を試してみてください。そしてもしあなたが
興味深いものが欲しいBILL GATES 3(Billの本名はBill
ゲイツ第三)と聖なる聖書。キャンセルやOKを入力せずに
終了する名前。

空のテキストが入力されると、ワームはその拡散ルーチンに進みます。最初に、このルーチンは内部にZIPアーカイブを作成します。アーカイブを作成するために、ワームはテキストベースの暗号化形式でワーム本体に格納された "pkzip"ユーティリティを使用し、実行前に解読します。その後、ワームはWindowsディレクトリに "666TEST.ZIP"という名前のアーカイブを作成します。

ワームが作成する別のファイルは、Windowsシステムフォルダ内の「REGSVR.VBS」です。このワームは、Windowsの起動時にこのスクリプトを実行するようにシステムレジストリを変更します。

このスクリプトを実行すると、コンピュータ上のすべてのディスクドライブが列挙され、次のフォルダがチェックされます。


MIRC
MIRC32
ピーチ
PIRCH98

ワームはMIRCまたはPIRCH(一般的なIRCクライアント)の実行可能ファイルである内部チェックフォルダまたはそのサブフォルダが見つかった場合、見つかったIRCクライアント用のスクリプトを作成し、ワームを含む666TEST.ZIPファイルをIRCチャネルに参加したすべてのクライアントに送信します。

それはまたシステムの日付をチェックし、毎月の5月に悲しい顔のタイル漫画の画像でデスクトップの壁紙を変更します。

最後に、このワームは、 「Melissa」マクロウイルスと同じ方法で、MS Outlook itnを使用して電子メールを介して感染を試みます。ワームに感染したメッセージには、ワームスクリプトが入った "666TEST.ZIP"アーカイブが添付されています。メッセージの件名は「666テスト」で、本文は「>あなたの名前はASCII文字で666になりますか?地獄に行きますか?」

このワームは、1台のコンピュータから2回は感染しません。重複した拡散を防ぐために、システムレジストリにキーを作成します。


"HKEY_LOCAL_MACHINESoftwareMIRC / OUTLOOK / PIRCH.VanHouten" = "True"


オリジナルへのリンク