VBS_SUCOP.A
Windows
マルウェアタイプ:
ファイル感染型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
Visual Basic Script (VBS)で作成されたこの破壊的なファイル感染型マルウェアは、対象とするホストファイルの冒頭に自身を追加し、インターネット上にある乳児の画像へのハイパーリンクを挿入します。
詳細
「VBS_SUCOP.A」は、自身の不正活動を実行するために"WSCRIPT.EXE"を利用します。実行されるとマルウェアは以下を表示します。
[OK]ボタンが押されると、マルウェアは、"C:\WINDOWS\Desktop"フォルダへ、以下のファイルの作成を開始します。
- 7baby.vbs - This is the copy of this malware. マルウェアのコピー
- HocusPocus.URL - マルウェアの他のコピーで、"C:\WINDOWS\TEMP\7baby.vbs" へのショートカットとして提供されるハイパーリンク。
ウイルスは、ファイル"C:\WINDOWS\Favorites\HocusPocus.URL"を作成します。このファイルは、ウイルス作成者のWebサイト"http://www.bo<blocked>ed.com/hocus_pocus"へのショートカットです。このリンクは、"Favorites"フォルダ内にあるため、このショートカットが感染コンピュータのWebブラウザのお気に入りメニューで表示されます。
ウイルスは、"C:\"内にあるVBSのファイルを検索し、各ホストの冒頭に自身を追加します。ただし、自身のコード内のエラーのため、ウイルスはホストファイルの一部を上書きし、ホストが不可能となります。
ユーザがWebサイト"http://www.bo メモリ非常駐型のこのウイルスは、終了する前に[OK]のメッセージを表示します。
感染したファイルでは、コードの冒頭に以下のような記述が確認されます。
VBS.WhyMe by HocusPocus in notepad
これらの記述は、ファイルの感染に成功する毎に確認されます。
I'm just a baby.. :P
対応方法
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「VBS_SUCOP.A」で検出したパス名およびファイル名を確認し、メモ等をとってください。
マルウェアが作成したファイルを削除する:
コンピュータからマルウェアを削除するために、マルウェアにより作成されたファイルをはじめに削除します。
- Windows Explorerを開き、[スタート]を右クリック-[エクスプローラ]をクリック
- 左側のパネルで、"C:\WINDOWS\Desktop"をクリック。
- ファイル"HocusPocus.URL"を特定し、削除する。"
- 左側のパネルで、"C:\WINDOWS\Start Menu\Programs\Startup"をクリック。
- ファイル"7baby.jpg"を特定し、削除する。"
- Windows Explorerを閉じる。
ご利用はいかがでしたか? アンケートにご協力ください