VBS_SUCOP.A

2015年6月12日

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: ファイル感染型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

Visual Basic Script (VBS)で作成されたこの破壊的なファイル感染型マルウェアは、対象とするホストファイルの冒頭に自身を追加し、インターネット上にある乳児の画像へのハイパーリンクを挿入します。

詳細

ファイルサイズ 1,834 bytes

タイプ VBS

発見日 2002年11月6日

「VBS_SUCOP.A」は、自身の不正活動を実行するために"WSCRIPT.EXE"を利用します。実行されるとマルウェアは以下を表示します。

Upon execution VBS_SUCOP.A displays a GUI with the header VBS.WhyMe containing the text - Fret Now!! Just A Simple Virus By The Hocus Pocus Team!!

[OK]ボタンが押されると、マルウェアは、"C:\WINDOWS\Desktop"フォルダへ、以下のファイルの作成を開始します。

7baby.vbs - This is the copy of this malware.　マルウェアのコピー
HocusPocus.URL - マルウェアの他のコピーで、"C:\WINDOWS\TEMP\7baby.vbs"　へのショートカットとして提供されるハイパーリンク。

ウイルスは、ファイル"C:\WINDOWS\Favorites\HocusPocus.URL"を作成します。このファイルは、ウイルス作成者のWebサイト"http://www.bo<blocked>ed.com/hocus_pocus"へのショートカットです。このリンクは、"Favorites"フォルダ内にあるため、このショートカットが感染コンピュータのWebブラウザのお気に入りメニューで表示されます。

ウイルスは、"C:\"内にあるVBSのファイルを検索し、各ホストの冒頭に自身を追加します。ただし、自身のコード内のエラーのため、ウイルスはホストファイルの一部を上書きし、ホストが不可能となります。

ユーザがWebサイト"http://www.boed.com/hocus_pocus/7baby.jpg"へ訪問すると、「VBS_SUCOP.A」は、画像をダウンロードし、"C:\WINDOWS\Start Menu\Programs\Startup\7baby.jpg"として保存します。このため、ウイルスが実行される際を別として、Windowsが起動する毎にこの画像が表示される可能性があります。

メモリ非常駐型のこのウイルスは、終了する前に[OK]のメッセージを表示します。

VBS_SUCOP.A nonmemory-resident virus displays an OK message before terminating

感染したファイルでは、コードの冒頭に以下のような記述が確認されます。

VBS.WhyMe by HocusPocus in notepad
I'm just a baby.. :P

これらの記述は、ファイルの感染に成功する毎に確認されます。

対応方法

対応検索エンジン: 9.750

初回 VSAPI パターンバージョン 1.380.33

初回 VSAPI パターンリリース日 2002年11月6日

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用いてウイルス検索を実行してください。「VBS_SUCOP.A」で検出したパス名およびファイル名を確認し、メモ等をとってください。

マルウェアが作成したファイルを削除する：

コンピュータからマルウェアを削除するために、マルウェアにより作成されたファイルをはじめに削除します。

Windows Explorerを開き、[スタート]を右クリック－[エクスプローラ]をクリック
左側のパネルで、"C:\WINDOWS\Desktop"をクリック。
ファイル"HocusPocus.URL"を特定し、削除する。"
左側のパネルで、"C:\WINDOWS\Start Menu\Programs\Startup"をクリック。
ファイル"7baby.jpg"を特定し、削除する。"
Windows Explorerを閉じる。

ご利用はいかがでしたか？　アンケートにご協力ください