製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス情報

ウイルス名
VBS/Loveletter.g
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
TRUE
対応定義ファイル
(現在必要とされるバージョン)
4077 (現在7512)
対応エンジン4.0.35以降 (現在5600) 
エンジンバージョンの見分け方
別名protect.vbs, VBS.Loveletter.G (NAV), VBS.Loveletter.J (NAV)
情報掲載日00/05/07
発見日(米国日付)00/05/05
駆除補足VirusScanによる駆除方法ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/26Generic.dx!0...
07/26RDN/Generic....
07/26RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7512
 エンジン:5600
 
ウイルス検索
 




このウイルスは、VBS/Loveletter.aの亜種です。

このウイルスは、Loveletter.aウイルスを駆除する方法を教示するかのような内容のメールと共に届きます。またSymantec社のサポートセンターが発信人であるかのように詐称しています(注:Symantec社はそのようなメールは発信していません

メールの内容は以下のとおりです。

-------copy of email message sent by virus---
From "support@symantec.com"
Subject "Virus ALERT!!!"
Message
"Dear Symantec customer,"

"Symantec's AntiVirus Research Center began receiving reports regarding VBS.LoveLetter.A virus early morning on May 4, 2000 GMT."
"This worm appears to originate from the Asia Pacific region. Distribution of the virus is widespread and hundreds of thousands of machines are reported infected....

[additional paragraphs omitted]
"Also as a quick solution Symantec Corp. offers Visual Basic Script to protect your PC against this worm. (See attached.)"

"Note! When executed, this script will protect Your PC from being INFECTED by VBS.LoveLetter.A virus."

Attachment "protect.vbs"

-------end of email message sent by virus---

ユーザーが添付ファイルを実行した場合、このウイルスはWindows Scripting Hostを用いて発動します。Windows Scripting Hostは、通常、Internet Explorer v5がインストールされているWindows9x, NTにのみ導入されています。

WINDOWS\WIN32DLL.VBS
WINDOWS\SYSTEM\MSKERNEL32.VBS
WINDOWS\SYSTEM\PROTECT.VBS

また以下のレジストリキーを追加し、システム起動時に自分自身を起動させようとします。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunMSKernel32=WINDOWS\SYSTEM\MSKernel32.vbs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServicesWin32DLL=WINDOWS\Win32DLL.vbs

このウイルスは、ホストシステムに接続されているすべてのドライブを走査し、以下の拡張子のファイルを自分自身のコピーと置換し、さらにオリジナル・ファイル名に拡張子.VBSを追加します。

*.JPG
*.JPEG

つまりPICT.JPGファイルは、PICT.JPG.VBSというファイル名になります。このファイルにはウイルスが内蔵されていることになります。

またこのウイルスは以下のファイルを自分自身で上書きし、ファイル名を *.VBSに置き換えます。

*.BAT
*.COM
*.CSS
*.JS
*.JSE
*.HTA
*.SCT
*.WSH
*.VBS
*.VBE

またこのウイルスは以下のファイルタイプのインスタンスを捜索し、

*.MP3
*.MP2

見つかった場合は、隠し属性を付加し、拡張子に.VBSを付与します。例えば2PAC.MP3のようなファイルがあった場合、それは隠しファイル2PAC.MP3.VBSに変更されます。

このウイルスはmothersday.HTMというファイルを生成します。このファイルにはウイルス自体が含まれています。またシステムにIRCクライアントがインストールされている場合、このファイルがIRCチャンネルに送付されます。この動作は、ウイルスがSCRIPT.INIまたはMIRC.INIファイルを置きかえることにより実行されます。

また、このファイルのメタタグには以下のような内容が記述されています。

META NAME="Author" CONTENT="spyder \ ispyder@mail.com
\ @GRAMMERSoft Group \ Manila, Philippines \ March 2000"
META NAME="Modified" CONTENT="Ommen \ Directly from HELL
\ March 2000"

このHTMファイルのタイトルは"F..K LETTER - HTML"です。このページには以下の記述があります。

This HTML file need ActiveX Control

To Enable to read this HTML file
- Please press [YES] button to Enable ActiveX

またMARQUEE機能をサポートしているブラウザでは、MARQUEE(文字の横流れ)形式で表示がなされます。

しばらくの休止時間の後、このウイルスはMicrosoft Outlookを用いて、自分自身をアドレスブック内のすべての宛先に送付します。このメールは最初に受信したものと内容は同一です。

この亜種においては、パスワード詐取トロイの木馬のダウンロードは行われません。

VirusScanによる駆除方法
駆除の方法

VirusScanでVBS/Loveletter(およびその亜種)を検出した場合、「駆除」ボタンを押せばVBS/Loveletterワームが駆除されます。


駆除の内容
  • VirusScanが検出したワームファイルが削除されます。
    (例:MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS)

  • ワームファイル削除時に、レジストリ内容も削除されます。
    (例: WINDOWS\WIN32DLL.VBS を駆除した時に、
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices\Win32DLL=WINDOWS\Win32DLL.vbsが削除されます。)

注:
  1. インターネットエクスプローラのスタートアップ・ページについては以下の手順で復帰させてください。
    「ツール」→「インターネットオプション」を表示し、「全般」タブの中の「ホームページ」の「アドレス」欄を、お客様の設定したいたアドレスに書き換え、最後に「OK」をクリックしてください。

  2. 駆除を行った際、駆除エラーと表示されることがありますが、実際には駆除は行われています。