製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス情報

ウイルス名
VBS/Loveletter.as
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4078
対応定義ファイル
(現在必要とされるバージョン)
4078 (現在7544)
対応エンジン4.0.50以降 (現在5600) 
エンジンバージョンの見分け方
別名VBS/Plan, VBS_Colombia
情報掲載日00/06/12
発見日(米国日付)00/06/08
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 




これはVBS/Loveletterファミリーの亜種です。内部コードは他の亜種と類似しています。この他、日付を元に起動する発病ルーチンが含まれています。この発病ルーチンにより、ネットワーク上のローカルホストから全ての割り当てドライブが切り離されてしまいます。注:このウイルスはあるウイルス対策会社により、VBS/Planとしてプレスリリースされています。

このウイルスには以下の文字列が含まれています(表示はされません)。

rem "Plan Colombia" virus v1.0
rem by Sand Ja9e Gr0w
rem Santa fe de Bogota 2000/09
rem I dedicate to all you the song "GoodBye" of Andreas Bochelli

このウイルスが意識的にせよ偶然にせよ実行されてしまった場合、ローカルシステムへの自己インストールおよびファイルへの敵対的行動が実行されます。

このウイルスは自分自身を以下の場所にコピーします。

WINDOWS\reload.vbs
WINDOWS\SYSTEM\LINUX32.vbs
WINDOWS\SYSTEM\[ランダムなファイル名]

上記のうち、「ランダムなファイル名]においては、ファイル拡張子は以下のいずれかが選ばれます。

".GIF.vbs", ".BMP.vbs", ".JPG.vbs"

ファイル名本体は、ランダムに選択されたアルファベット1文字と、ランダムに選択された母音A,E,I,O.Uにより、構成されます。例えば以下のようなファイル名が成立し得ます。

"bAlIr.BMP.vbs"

次にこのウイルスは、Windows起動時に自分自身がロードされるよう、以下のレジストリを改変します。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
LINUX32 = WINDOWS\SYSTEM\LINUX32.vbs

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
reload = WINDOWS\reload.vbs

上記レジストリを改変した後、このウイルスは"WINFAT32.EXE"というファイルが存在するかどうかをチェックします。もし存在した場合、ウイルスはインターネットエクスプローラの設定を変更し、以下の3つのファイルがダウンロードされるようにします。

macromedia32.zip
linux321.zip
linux322.zip

さらにこれらのファイルはTemporary Internet FilesフォルダからWindowsフォルダに以下の名前でコピーされます。

important_note.txt
logow.sys
logos.sys

上記のロゴファイルは、Windows起動時とシャットダウン時のビットマップ画像を置き換えるものです。

Windowsシャットダウン時の画像

Windows起動時の画像

.txtファイルは、下記レジストリ改変の働きにより、Windows起動時に表示されます。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
plan colombia = WINDOWS\important_note.txt

この後、このウイルスはWindows/Systemフォルダに以下のファイルを書き込みます。

"US-PRESIDENT-AND-FBI-SECRETS.HTM"

このHTMファイルにはウイルスコードが内蔵されています。

次に、このウイルスはEメールルーチンを起動し、MAPI Eメールを介して、自分自身を配布します。このEメールには4つの形態があります。件名は、以下に示す固定文字列か、あるいはランダムに選択された6文字となります。

本文は、以下に示す固定文字列か、あるいはランダムに選択された10文字となります。

件名"US PRESIDENT AND FBI SECRETS
=PLEASE VISIT = > (http://WWW.2600.COM)< "
本文"VERY JOKE..!
SEE PRESIDENT AND FBI TOP SECRET PICTURES.."
添付ファイル[ランダムなファイル名]

このEメールルーチンに続き、システムおよび割り当てドライブに対する敵対的活動が発生します。このウイルスは、.VBSあるいは.VBEファイルを発見すると、そのファイルの内容を自分自身のコードと置き換えます。

また".js", ".jse", ".css", "wsh", "sct", "hta", ".jpg", ".jpeg"といった拡張子のファイルを見つけると、まず自分自身をそれらのファイル名でコピーし、さらにそのファイルに拡張子 .VBSを加え、最後にオリジナルファイルを削除します。

また".MP2", ".MP3"といったファイルを発見した場合、それらのファイル属性を「隠しファイル」に改変します。

また、システム日付が9月7日であった場合、このウイルスは以下のメッセージを表示します。

"Dedicated to my best brother=> Christiam Julian(C.J.G.S.)"
"Att. [ランダムな5文字] (M.H.M. TEAM)"

このメッセージの表示、および消去に続き、ドライブをZ-Eの逆順にネットワーク切断しようとします。

VirusScanによる駆除方法
駆除の方法

VirusScanでVBS/Loveletter(およびその亜種)を検出した場合、「駆除」ボタンを押せばVBS/Loveletterワームが駆除されます。


駆除の内容
  • VirusScanが検出したワームファイルが削除されます。
    (例:MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS)

  • ワームファイル削除時に、レジストリ内容も削除されます。
    (例: WINDOWS\WIN32DLL.VBS を駆除した時に、
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices\Win32DLL=WINDOWS\Win32DLL.vbsが削除されます。)

注:
  1. インターネットエクスプローラのスタートアップ・ページについては以下の手順で復帰させてください。
    「ツール」→「インターネットオプション」を表示し、「全般」タブの中の「ホームページ」の「アドレス」欄を、お客様の設定したいたアドレスに書き換え、最後に「OK」をクリックしてください。

  2. 駆除を行った際、駆除エラーと表示されることがありますが、実際には駆除は行われています。