ウイルス情報
このウイルスは、VBS/Loveletter.aの亜種です。
ウイルスコードには以下のコメント行が含まれています。
rem by: BrainStorm / @ElectronicSouls Crew /
このウイルスは以下のような内容のEメールと共に届きます。
件名:"Important ! Read carefully !!"
本文:"Check the attached IMPORTANT coming from me !"
添付ファイル:"IMPORTANT.TXT.vbs"
ユーザーが添付ファイルを実行した場合、このウイルスはWindows Scripting Hostを用いて発動します。Windows Scripting Hostは、通常、Internet Explorer v5がインストールされているWindows9x, NTにのみ導入されています。
また以下のレジストリキーを追加し、システム起動時に自分自身を起動させようとします。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\MSKernel32=WINDOWS\SYSTEM\ESKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\Win32DLL=WINDOWS\ES32DLL.vbs
このウイルスは、ホストシステムに接続されているすべてのドライブを走査し、以下の拡張子のファイルを自分自身のコピーと置換し、さらにオリジナル・ファイル名に拡張子.VBSを追加します。
*.JPG
*.JPEG
つまりPICT.JPGファイルは、PICT.JPG.VBSというファイル名になります。このファイルにはウイルスが内蔵されていることになります。
またこのウイルスは以下のファイルを自分自身で上書きし、ファイル名を *.VBSに置き換えます。
*.VBS
*.VBE
*.JS
*.JSE
*.CSS
*.WSH
*.SCT
*.HTA
またこのウイルスは以下のファイルタイプのインスタンスを捜索し、
*.MP3
*.MP2
見つかった場合は、隠し属性を付加し、拡張子に.VBSを付与します。例えば2PAC.MP3のようなファイルがあった場合、それは隠しファイル2PAC.MP3.VBSに変更されます。
このウイルスはIMPORTANT.HTMというファイルを生成します。このファイルにはウイルス自体が含まれています。またシステムにIRCクライアントがインストールされている場合、このファイルがIRCチャンネルに送付されます。この動作は、ウイルスがSCRIPT.INIファイルを置きかえることにより実行されます。
しばらくの休止時間の後、このウイルスはMicrosoft Outlookを用いて、自分自身をアドレスブック内のすべての宛先に送付します。このメールは最初に受信したものと内容は同一です。
このウイルスには、この他、WIN-BUGSFIX.EXEという実行ファイルをインターネットからダウンロードしようとしするという、トリッキーな動作があります。この実行ファイルはパスワード詐取プログラムです。キャッシュされているすべてのパスワードを、MAILME@SUPER.NET.PH
へと送付します。
このダウンロードを実行するために、Loveletterウイルスは、Internet Explorerのスタートアップページを、パスワード詐取トロイの木馬のアドレスを指すように、改変します。
このトロイの木馬によって送付されるメール内容は以下のような内容です。
-------------copy of email sent-----------
From: goat1@192.168.0.2To: mailme@super.net.ph
Subject: Barok... email.passwords.sender.trojan
X-Mailer: Barok... email.passwords.sender.
trojan---by: spyder
Host: [machine name]
Username: [user name]
IP Address: [victim IP address]
RAS Passwords:...[victim password info]
Cache Passwords:...[victim password info]
-------------copy of email sent-----------
このパスワード詐取トロイの木馬は、以下のレジストリキーを介して、システム起動時に自動的に作動するよう設定されます。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\WIN-BUGSFIX
作動後に、このトロイの木馬は自分自身を、WINDOWS\SYSTEM\WinFAT32.EXE へとコピーし、レジストリキーを以下のように置き換えます。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\WinFAT32=WinFAT32.EXE
| VirusScanによる駆除方法 | 駆除の方法VirusScanでVBS/Loveletter(およびその亜種)を検出した場合、「駆除」ボタンを押せばVBS/Loveletterワームが駆除されます。
駆除の内容- VirusScanが検出したワームファイルが削除されます。
(例:MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS)
ワームファイル削除時に、レジストリ内容も削除されます。
(例: WINDOWS\WIN32DLL.VBS を駆除した時に、
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices\Win32DLL=WINDOWS\Win32DLL.vbsが削除されます。)
注:- インターネットエクスプローラのスタートアップ・ページについては以下の手順で復帰させてください。
「ツール」→「インターネットオプション」を表示し、「全般」タブの中の「ホームページ」の「アドレス」欄を、お客様の設定したいたアドレスに書き換え、最後に「OK」をクリックしてください。 - 駆除を行った際、駆除エラーと表示されることがありますが、実際には駆除は行われています。
|
|
