McAfee for Small Businesses

ウイルス情報 ウイルス名 VBS/Loveletter.a 種別 ウイルス ファイルサイズ 低：大量繁殖 最小定義ファイル (最初に検出を確認したバージョン) TRUE 対応定義ファイル (現在必要とされるバージョン) 4077 亜種[h]は4078　（現在7080) 対応エンジン 4.0.35以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 BugFix, I-Worm.Loveletter, IRC/Loveletter, Love Bug, LOVE-LET.VBS, LOVE-LETTER-FOR-YOU.TXT.vbs, Loveletter, Troj/LoveLet-A, VBS.Loveletter.a, VBS/LoveLet-A, VBS/LoveLet-B, VBS/LoveLet-C, VBS/LoveLet-E, VBS_LoveLetter, veryfunny.vbs 亜種 VBS/Loveletter.b, VBS/Loveletter.c, VBS/Loveletter.d, VBS/Loveletter.af, VBS/Loveletter.ah, VBS/Loveletter.ag, VBS/Loveletter.ae, VBS/Loveletter.ai 情報掲載日 00/05/06 発見日（米国日付） 00/05/04 駆除補足 VirusScanによる駆除方法ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/20 RDN/Generic.... 05/20 RDN/Generic ... 05/20 RDN/Generic.... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

件名： "ILOVEYOU"
本文： "kindly check the attached LOVELETTER coming from me."
添付ファイル："LOVE-LETTER-FOR-YOU.TXT.vbs"

亜種情報

亜種名	原種との違い
VBS/Loveletter.b	件名："Susitikim shi vakara kavos puodukui..."
VBS/Loveletter.c	件名："FW: Joke" 添付ファイル："Very Funny.vbs","Very Funny.HTM"
VBS/Loveletter.d	エディタ破損のため、繁殖しない
VBS/Loveletter.ae	コード第一行目が、"rem FREE XXX"。以下120の繰り返しコメント行が続く。WINDOWS\SYSTEM\"FREE SEXSITE PASSWORDS.HTML.vbsというファイルが作成される
VBS/Loveletter.af	"i am in love with Dorine de Wit"というコメント行がある。
VBS/Loveletter.ag	"rem Virusu "te iubesc"というコメント行がある
VBS/Loveletter.ah	"rem - vytvooen objektu pro pr ci se systmem souborというコメント行がある

ユーザーが添付ファイルを実行した場合、このウイルスはWindows Scripting Hostを用いて発動します。Windows Scripting Hostは、通常、Internet Explorer v5がインストールされているWindows9x, NTにのみ導入されています。

このウイルスが発動すると、Loveletterウイルスは以下の場所に自分自身のコピーを落し込みます。

WINDOWS\SYSTEM\MSKERNEL32.VBS
WINDOWS\WIN32DLL.VBS
WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS

また以下のレジストリキーを追加し、システム起動時に自分自身を起動させようとします。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\MSKernel32=WINDOWS\SYSTEM\MSKernel32.vbs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\Win32DLL=WINDOWS\Win32DLL.vbs

このウイルスは、ホストシステムに接続されているすべてのドライブを走査し、以下の拡張子のファイルを自分自身のコピーと置換し、さらにオリジナル・ファイル名に拡張子.VBSを追加します。

*.JPG
*.JPEG

つまりPICT.JPGファイルは、PICT.JPG.VBSというファイル名になります。つまり、オリジナル・ファイルはウイルス・ファイルに置き換えられます。

またこのウイルスは以下のファイルを自分自身で上書きし、ファイル名を *.VBSに置き換えます。

*.VBS
*.VBE
*.JS
*.JSE
*.CSS
*.WSH
*.SCT
*.HTA

またこのウイルスは以下のファイルタイプのインスタンスを捜索し、

*.MP3
*.MP2

見つかった場合は、オリジナルファイルに隠し属性を付加します。さらに拡張子に.VBSを付与した形で、もう一つウイルスファイルが作成されます。例えば2PAC.MP3のようなファイルがあった場合、それは隠しファイル2PAC.MP3にされ、もう一つウイルスファイル2PAC.MP3.VBSが作成されます。

このウイルスはLOVE-LETTER-FOR-YOU.HTMというファイルを生成します。このファイルにはウイルス自体が含まれています。またシステムにIRCクライアントがインストールされている場合、このファイルがIRCチャンネルに送付されます。この動作は、ウイルスがSCRIPT.INIファイルを置きかえることにより実行されます。

しばらくの休止時間の後、このウイルスはMicrosoft Outlookを用いて、自分自身をアドレスブック内のすべての宛先に送付します。このメールは最初に受信したものと内容は同一です。

このウイルスには、この他、WIN-BUGSFIX.EXEという実行ファイルをインターネットからダウンロードしようとしするという、トリッキーな動作があります。この実行ファイルはパスワード詐取プログラムです。キャッシュされているすべてのパスワードを、MAILME@SUPER.NET.PH へと送付します。

このダウンロードを実行するために、Loveletterウイルスは、Internet Explorerのスタートアップページを、パスワード詐取トロイの木馬のアドレスを指すように、改変します。

このトロイの木馬によって送付されるメール内容は以下のような内容です。

-------------copy of email sent-----------
From: goat1@192.168.0.2To: mailme@super.net.ph
Subject: Barok... email.passwords.sender.trojan
X-Mailer: Barok... email.passwords.sender.
trojan---by: spyder
Host: [machine name]
Username: [user name]
IP Address: [victim IP address]

RAS Passwords:...[victim password info]
Cache Passwords:...[victim password info]
-------------copy of email sent-----------

このパスワード詐取トロイの木馬は、以下のレジストリキーを介して、システム起動時に自動的に作動するよう設定されます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\WIN-BUGSFIX

作動後に、このトロイの木馬は自分自身を、WINDOWS\SYSTEM\WinFAT32.EXE へとコピーし、レジストリキーを以下のように置き換えます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\WinFAT32=WinFAT32.EXE