HOME情報セキュリティ情報セキュリティ対策ウイルス対策新ウイルス「VBS/Stages」に関する情報

本文を印刷する

情報セキュリティ

新ウイルス「VBS/Stages」に関する情報

2000年 6月21日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)

「Funny」等のタイトルを持つ電子メールを通じて感染・発病するワーム(広義のウイルスに属する)が世界的に感染を広げています。

本ワームは、「メールの添付ファイルを不用意に実行しない」というウイルス対策の基本を確実に守れば、感染・発病しません。
以下に、今後の被害を防ぐための予防対策と万一感染・発病してしまった場合の対応策について、お知らせ致します

また、今後も新しい情報が確認でき次第、本ページに掲載する予定です。

今回注意をする必要があるコンピュータ利用者

Windows(95,98,NT,2000)利用者。
メーラとしてOutlookを利用している場合や、インターネットリレーチャットmIRC、PIRCH利用者は、ウイルスの感染に悪用される可能性があるので、更に特別な注意が必要です。

ウイルスの概要

このワーム(ウイルス)は、メールに添付されたSHSファイル(スクラップファイル)を実行する(ダブルクリックして開く行為をする)ことによって感染・発病します。
実行せずに添付ファイルを削除(メールごと削除するのが適切)してしまえば被害に遭いませんが、万一、感染・発病してしまうと、次のような症状が現れます。

  • (1)ウイルスを実行すると、以下のテキストを表示する。

    -The male stages of life:
    Age. Seduction lines.
    17 My parents are away for the weekend.
    25 My girlfriend is away for the weekend.
    35 My fiancee is away for the weekend.
    48 My wife is away for the weekend.
    66 My second wife is dead.
    -略-

  • (2)ウイルスの複製および関連ファイルの作成
  • (3)REGEDIT.EXEをゴミ箱に移動する
  • (4)ウイルスによるメールの自動送信
  • (5)IRC(インターネット・リレーチャット)を通じての自己増殖

今回のワーム(ウイルス)も、ウイルス対策の基本を確実に守れば被害に遭わずにすみます。以下に予防のための対策を示します。

なお、仮にSHSファイルを実行してしまった(ダブルクリックしてしまった)場合、表面的には何事もなかったかのように見えるかもしれませんが、ウイルスによる破壊活動は実行されている可能性が高いと考えられます。

予防対策

なお、SHSファイルであるかどうかを確認しにくい場合があります。以下の「SHSファイルの見分け方」で確認してください。

●メール上でのSHSファイルの見分け方

  • (1)添付ファイルのファイル名で拡張子が.shsであれば、SHSファイルである。
  • (2)メーラーによっては、添付ファイルの表示がSHSアイコンになるので、それを確認する。
    SHSファイルのアイコンは、テキストファイル(拡張子.txt)のアイコンに似ているので注意されたい。
    SHSアイコン shsファイルアイコン      TXTアイコンtxtファイルアイコン

感染・発病の概要

  • (1)ウイルスの複製および関連ファイルの作成
    全てのネットワークドライブのルートディレクトリ、c:\MyDocuments、c:\Windows\StartMenu\Programs(日本語版:C:\Windows\スタートメニュー\プログラム)に、以下のようなファイルを作成する。

    「文字列1」+「文字列2」+「文字列3」+.TXT+.SHS
    文字列1には、「IMPORTANT」「INFO」「REPORT」「SECRET」「UNKNOWN」のいずれか
    文字列2には、「-」「_」のいずれか
    文字列3には、0~999の番号
    例:IMPORTANT_495.TXT.SHS

  • (2)ウイルスによるメールの自動送信
     Outlook利用者においては、Outlookのアドレス帳に登録されているアドレスに対し自分自身(LIFE_STAGES.TXT.SHS)を添付したメールを送りつけ感染を広げます。

  • (3)IRC(インターネット・リレーチャット)を通じての自己増殖
     mIRC、PIRCHを利用してインターネット・リレーチャットを行っている場合、これを通じて自己増殖します。

感染確認方法

下記のファイルの存在を確認し、もし存在していれば感染している。
c:\Window\LIFE_STAGES.TXT.SHSが存在する。
c:\Windows\system\MSINFO16.TLBが存在する。
c:\Windows\system\SCANREG.VBSが存在する。
c:\Windows\system\VBASET.OLBが存在する。

なお、SHSファイルは、ファイルの拡張子を表示する状態に設定されていても、Windows上では拡張子が表示されないので、注意が必要である。
この場合は、プロパティを見ることにより確認できる。下記例示参照。

・プロパティの確認

(1)で、ファイル名が
LIFE_STAGES.TXT
と表示され、一見テキストファイルであるかのような表示となる。
しかしながら、
(2)で、種類がスクラップオブジェクトと表示されている。
(3)で、MS-DOSファイル名の拡張子が .SHS と表示されている。
(4)で、アイコンがSHSファイルであることを示している。

LIFE_STAGES.TXTのプロパティ

修復に関する情報

修復にあたっては、レジストリ等の修正が必要なので、システムの再インストールをするのが安全で確実である。
手動による修復方法は下記サイトに掲載されているが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意されたい。レジストリを修正する場合は、必要なデータファイル等をバックアップしてから行うようにされたい。
また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効である。なお、修復用ツールの使用方法その他に関する事項は当該の提供ベンダー宛に問い合わせて下さい。

・修復用ツールの掲載サイト

・関連情報掲載サイト

セキュリティセンターのホームページはこちらを、情報処理振興事業協会(IPA)のホームページはこちらをご覧ください。

更新履歴

2000年 6月21日 掲載。
2002年 1月15日 ワクチンベンダー情報へのリンク修正