2002年09月02日 11:00

VBS_ROKOL.A

 

別 名:
ROKOL.A, ロコル, ROKOL

特 徴:
 これはVisualBasicスクリプト(VBS)で記述されたワームに分類される不正プログラムです。Outlookをコントロールして自身のコピーを添付したメールを送信するワーム活動を行います。メールは以下の内容で送信されます:

件名: "I feel sick today!!!

 VBSのプログラムなのでマイクロソフトの「Windowsスクリプティングホスト」(WSH)がインストールされている環境でなければ動作しません。「Windowsスクリプティングホスト」はWindows98/2000以降ではデフォルトでインストールされていますので注意が必要です。


対応方法:


 検出したファイルはすべて削除してください。単体で動作する一個のスクリプトであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。

・侵入方法:


 通常WEBページに含まれており、ユーザーが閲覧した場合に実行されます。

・感染確認方法:

 スクリプトが実行された場合、Windowsのシステムディレクトリ(デフォルトではC:\Windows\System)に"ORLOK.VBS"というファイル名で自身のコピーを作ります。

・感染していた場合の対処:

1)Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除してください。

場所: HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\
値 : ORLOK "wscript.exe %systemdir%ORLOK.vbs"

場所: HKEY_CURRENT_USER\software\ORLOK\mailed

註:<Windowsディレクトリ>はWindowsの種類とインストール時の設定などにより異なります。デフォルト設定では、

 Windows9x/Me/XPの場合、
  Windowsディレクトリ= C:\Windows

 WindowsNT/2000の場合、
  Windowsディレクトリ= C:\WinNT

 です。
2)Internet Explorerのスタートページの設定を元に戻します。

コントロールパネルを開きます。
"インターネットオプション"を開きます。
"プログラムタブ"を選択します。
「Webの設定のリセット」ボタンをクリックします。
「OK」ボタンをクリックしてウインドウを閉じます。

3)最新のウイルス対策製品でウイルス検索を行い、「VBS_ROKOL.A」で検出したファイルをすべて削除して下さい。

 


 


 


 
ウィルス名
  • VBS_ROKOL.A
  • 発見日
    2002年08月
分類
  • ワーム
発生場所
  • 世界中
感染対象
  • Windows系全て

参考(情報 / 駆除方法など)