ウイルス情報ウイルス情報| 種別 | ウイルス | | ファイルサイズ | 低 | 最小定義ファイル
(最初に検出を確認したバージョン) | 4078 | 対応定義ファイル
(現在必要とされるバージョン) | 4078 (現在7109) | | 対応エンジン | 4.0.50以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | VBS/Plan, VBS_Colombia | | 情報掲載日 | 00/06/12 | | 発見日(米国日付) | 00/06/08 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
これはVBS/Loveletterファミリーの亜種です。内部コードは他の亜種と類似しています。この他、日付を元に起動する発病ルーチンが含まれています。この発病ルーチンにより、ネットワーク上のローカルホストから全ての割り当てドライブが切り離されてしまいます。注:このウイルスはあるウイルス対策会社により、VBS/Planとしてプレスリリースされています。
このウイルスには以下の文字列が含まれています(表示はされません)。
rem "Plan Colombia" virus v1.0
rem by Sand Ja9e Gr0w
rem Santa fe de Bogota 2000/09
rem I dedicate to all you the song "GoodBye" of Andreas Bochelli
このウイルスが意識的にせよ偶然にせよ実行されてしまった場合、ローカルシステムへの自己インストールおよびファイルへの敵対的行動が実行されます。
このウイルスは自分自身を以下の場所にコピーします。
WINDOWS\reload.vbs
WINDOWS\SYSTEM\LINUX32.vbs
WINDOWS\SYSTEM\[ランダムなファイル名]
上記のうち、「ランダムなファイル名]においては、ファイル拡張子は以下のいずれかが選ばれます。
".GIF.vbs", ".BMP.vbs", ".JPG.vbs"
ファイル名本体は、ランダムに選択されたアルファベット1文字と、ランダムに選択された母音A,E,I,O.Uにより、構成されます。例えば以下のようなファイル名が成立し得ます。
"bAlIr.BMP.vbs"
次にこのウイルスは、Windows起動時に自分自身がロードされるよう、以下のレジストリを改変します。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
LINUX32 = WINDOWS\SYSTEM\LINUX32.vbs
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
reload = WINDOWS\reload.vbs
上記レジストリを改変した後、このウイルスは"WINFAT32.EXE"というファイルが存在するかどうかをチェックします。もし存在した場合、ウイルスはインターネットエクスプローラの設定を変更し、以下の3つのファイルがダウンロードされるようにします。
macromedia32.zip
linux321.zip
linux322.zip
さらにこれらのファイルはTemporary Internet FilesフォルダからWindowsフォルダに以下の名前でコピーされます。
important_note.txt
logow.sys
logos.sys
上記のロゴファイルは、Windows起動時とシャットダウン時のビットマップ画像を置き換えるものです。
Windowsシャットダウン時の画像
Windows起動時の画像
.txtファイルは、下記レジストリ改変の働きにより、Windows起動時に表示されます。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
plan colombia = WINDOWS\important_note.txt
この後、このウイルスはWindows/Systemフォルダに以下のファイルを書き込みます。
"US-PRESIDENT-AND-FBI-SECRETS.HTM"
このHTMファイルにはウイルスコードが内蔵されています。
次に、このウイルスはEメールルーチンを起動し、MAPI Eメールを介して、自分自身を配布します。このEメールには4つの形態があります。件名は、以下に示す固定文字列か、あるいはランダムに選択された6文字となります。
本文は、以下に示す固定文字列か、あるいはランダムに選択された10文字となります。
| 件名 | "US PRESIDENT AND FBI SECRETS
=PLEASE VISIT = > (http://WWW.2600.COM)< " |
| 本文 | "VERY JOKE..!
SEE PRESIDENT AND FBI TOP SECRET PICTURES.." |
| 添付ファイル | [ランダムなファイル名]
|
このEメールルーチンに続き、システムおよび割り当てドライブに対する敵対的活動が発生します。このウイルスは、.VBSあるいは.VBEファイルを発見すると、そのファイルの内容を自分自身のコードと置き換えます。
また".js", ".jse", ".css", "wsh", "sct", "hta", ".jpg", ".jpeg"といった拡張子のファイルを見つけると、まず自分自身をそれらのファイル名でコピーし、さらにそのファイルに拡張子 .VBSを加え、最後にオリジナルファイルを削除します。
また".MP2", ".MP3"といったファイルを発見した場合、それらのファイル属性を「隠しファイル」に改変します。
また、システム日付が9月7日であった場合、このウイルスは以下のメッセージを表示します。
"Dedicated to my best brother=> Christiam Julian(C.J.G.S.)"
"Att. [ランダムな5文字] (M.H.M. TEAM)"
このメッセージの表示、および消去に続き、ドライブをZ-Eの逆順にネットワーク切断しようとします。
| VirusScanによる駆除方法 | 駆除の方法VirusScanでVBS/Loveletter(およびその亜種)を検出した場合、「駆除」ボタンを押せばVBS/Loveletterワームが駆除されます。
駆除の内容- VirusScanが検出したワームファイルが削除されます。
(例:MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS)
ワームファイル削除時に、レジストリ内容も削除されます。
(例: WINDOWS\WIN32DLL.VBS を駆除した時に、
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices\Win32DLL=WINDOWS\Win32DLL.vbsが削除されます。)
注:- インターネットエクスプローラのスタートアップ・ページについては以下の手順で復帰させてください。
「ツール」→「インターネットオプション」を表示し、「全般」タブの中の「ホームページ」の「アドレス」欄を、お客様の設定したいたアドレスに書き換え、最後に「OK」をクリックしてください。 - 駆除を行った際、駆除エラーと表示されることがありますが、実際には駆除は行われています。
|
|
