|
|
ウイルス情報ウイルス情報| 種別 | ウイルス | | ファイルサイズ | 低 | 最小定義ファイル
(最初に検出を確認したバージョン) | TRUE | 対応定義ファイル
(現在必要とされるバージョン) | 4092 (現在7084) | | 対応エンジン | 4.0.50以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | DUNpws.bo, Loveletter.ad, resume.txt.vbs, Trojan.PWS.Hooker.24.c, VBS/Contract, VBS/Lovelet-BD, VBS/Resume.A.Worm | | 情報掲載日 | 00/08/17 | | 補足 | VirusScan4.5のヒューリスティクススキャンでは、'New VBS'として検出します。ドイツ起源のウイルスと思われます。 | | 発見日(米国日付) | 00/08/15 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
- VBS/Loveletter.wormを元に作成されたVBS/Scriptウイルスです。
- この亜種は、ファイルを破壊することはありません。そのかわりに、パスワードを詐取するエージェントをダウンロードして、それをひそかに実行します。
- また、このウイルスはUBSオンラインバンキング・ソフトウエアに関するレジストリの中に格納されているPIN情報を盗み取り、固定アドレス3箇所へと送付します。
-
このウイルスは、MAPI対応メールを介して、以下の形式で自分自身をメール送付します。
| 件名 | "resume" |
| 本文 | (なし) |
| 添付ファイル | "resume.txt.vbs" |
-
この添付ファイルVBSが実行された場合、以下のような実際の履歴書(resume)らしきものがメモ帳により表示されます。
|
"Knowledge Engineer, Zurich"
"Intelligente Agenten im Internet sammeln Informationen, erklaren Sachverhalte im Customer Service, navigieren im Web, beantworten Email Anfragen oder verkaufen Produkte. Unsere Mandantin entwickelt und vermarktet solche Software-Bots:..."
(以下続く)
|
-
しかしこれは表面上のことであり、バックグラウンドでは、ひそかにトロイの木馬"hcheck.exe"がダウンロードされています。またウイルスメールもひそかに送付されます。
- "hchecked"ファイルは、VirusScanでは、"DUNpws.bo"として検出されます。
- トロイの木馬のダウンロードにおいては、FTPシェル命令とスクリプトファイルが使われます。
- トロイの木馬は、Windows起動時に実行されます。この際ネットワーク・パスワードを保存して、この情報を事前設定された固定Eメールアドレスへと送付します。
- このウイルスは、Windows Sctipting HostがあるWindows環境でのみ動作します。
| VirusScanによる駆除方法 | 駆除の方法VirusScanでVBS/Loveletter(およびその亜種)を検出した場合、「駆除」ボタンを押せばVBS/Loveletterワームが駆除されます。
駆除の内容- VirusScanが検出したワームファイルが削除されます。
(例:MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS)
ワームファイル削除時に、レジストリ内容も削除されます。
(例: WINDOWS\WIN32DLL.VBS を駆除した時に、
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices\Win32DLL=WINDOWS\Win32DLL.vbsが削除されます。)
注:- インターネットエクスプローラのスタートアップ・ページについては以下の手順で復帰させてください。
「ツール」→「インターネットオプション」を表示し、「全般」タブの中の「ホームページ」の「アドレス」欄を、お客様の設定したいたアドレスに書き換え、最後に「OK」をクリックしてください。 - 駆除を行った際、駆除エラーと表示されることがありますが、実際には駆除は行われています。
|
|
|
|
