ニュースリリース - 2000/6/20

ウイルス名

VBS_STAGES.A　

使用言語

英語

ウイルスタイプ

VBスクリプト、ワーム

使用プラットフォーム

Winadows

ウイルスサイズ

39,936 Bytes

感染報告日

2000/6/17

破壊活動

メールを自動送信する、ファイルを作成する、ファイルを削除する(REGEDIT.EXE)

対応パターン

731以上

対応エンジン

5.110以上

制約事項

（但しパターン732以上の場合、検索エンジンは必ず5.170以上をご使用下さい）

詳細

　これは一般的にワームに分類されるトロイの木馬型不正プログラムで、Outlook、mIRC、Pirchの機能を利用してネットワーク上で増殖する活動を行います。また、マッピングされたネットワークドライブに対しても自分自身をコピーして増殖します。VisualBasicScriptで記述されたプログラムなのでマイクロソフトのWindowsスクリプティングホストがインストールされている環境でなければ動作しません。
　｢VBS_STAGES.A｣は、VBスクリプト型のワームですが、これまでのVBSワームとは異なり、ワーム自身を埋め込んだ｢Windows スクラップファイル(SHS)｣を添付したメールを送信します。SHSファイルは、ドキュメントから実行型ファイルまであらゆるタイプのファイルを埋め込むことが可能です。また、SHSファイルはファイルの拡張子を表示するように設定されている場合でも、拡張子が表示されないという特徴があります。このため、ユーザには添付ファイルは”LIFE_STAGES.TXT”としか見えず、.TXT 形式のファイルと思って実行してしまう可能性が高いです。「ファイルのプロパティ」を見れば実際の拡張子「.shs」が表示されます。

ワーム実行後の活動:

1. メモ帳を呼び出して、男性と女性の人生に関するジョークをテキストで表示します。この間にワームはWindowsに自分自身をインストールします。

2. Windowsのレジストリに設定を行い、システム起動時にワームのプログラムが自動起動されるようにします。

3. C: \WINDOWS \SYSTEM \ディレクトリに"SCANREG.VBS"というファイルを作成し、レジストリを改変して、ICQが実行されたときに必ずワームが実行されるように設定します。

4. mIRCを利用して他のユーザーにワームのコピーを送付して増殖します。
   まず、SOUND32.DLLという補助ファイルを作成します。次にmIRCの設定ファイルのMIRC.INIを書き換え、mIRCで同じチャンネルに接続している人すべてに対してLIFE_STAGES.TXT.SHSを自動的に送信されるよう設定します。そしてmIRCを利用しワームのコピーを送付します。

5. Microsoft Outlookがインストールされていた場合、ワームはその設定を利用して自身のコピーを添付したメールをOutlookのアドレス帳に登録された宛て先すべてに送信します。（ウイルスが送信するメールの内容については前項の注意事項を参照下さい。）

6. Windowsの標準REGEDIT.EXE(レジストリ･エディタ)をゴミ箱に移動し、これをRECYCLED.VXDにリネームします。また、レジストリを改変して、ユーザーがレジストリエディタを実行すると、ゴミ箱のなかのRECYCLED.VXDが呼び出されるように設定します。

7. ネットワークドライブを含むあらゆるドライブに決まった文字列をランダムに汲み合わせて作成したファイル名でワームのコピーを作成します。このワームが作成するランダムなファイル名は以下のルールにのっとって作成されます：

｢A」＋「B」＋「C」.shs
｢A」は"IMPORTANT", "INFO", "REPORT", "SECRET", "UNKNOWN" のうちのどれか。｢B」は　"-"　もしくは　"_"。
｢C｣は 0～999　までの数字。
ファイル名の例："IMPORTANT-999.shs"、"SECRET_76.shs"

駆除ツールのダウンロード

駆除ツール(fixstage.exe 18KB)

readme.txt

手動削除手順

　一個のプログラムなので駆除は行えません。ファイルごと削除してください。実行してしまった場合に改変されたシステムは以下の方法で修復する必要があります。

1）レジストリの編集を行うため、ワームに変更されたWindowsのレジストリエディタ”REGEDIT.EXE”の設定を修復します：

　ゴミ箱内の"RECYCLED.VXD"をWindowsディレクトリにコピーし"REGEDIT.EXE"にリネームしてください（すでにゴミ箱を空にするなどしてレジストリエディタのファイルがなくなってしまった場合には他のマシンから”REGEDIT.EXE”をコピーするなどする必要があります）。次にコピーした”REGEDIT.EXE”を起動し、以下のレジストリキーを元の値に変更してください。

場所：HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\DefaultIcon
値：default="javascript:void(null);" →　"javascript:void(null);"

場所：HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command
値：default="javascript:void(null);"%1""　→　"regedit.exe "%1""

2）ワームの自動起動設定を削除します。”regedit.exe”などを使用して以下のレジストリキーを削除してください。：

場所：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
値：ScanReg = "javascript:void(null);"

場所：HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\Apps\ICQ\Parameters
値："javascript:void(null);"

場所：HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\
値：Apps\ICQ\Path = "javascript:void(null);"

場所：HKEY_USERS\.DEFAULT\Software\Mirabilis\ICQ\Agent\
値：Apps\ICQ\Startup = "javascript:void(null);"

3）mIRCを使用している場合にはワームに変更された設定ファイル"MIRC.INI"を削除し、オリジナルに置き換えてください。

4）マシンを再起動後、ウイルスバスターを使用し発見した感染ファイルをすべて削除してください。