製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス情報

ウイルス名
VBS/Loveletter.y
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4077
対応定義ファイル
(現在必要とされるバージョン)
4077 (現在7401)
対応エンジン4.0.35以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日00/05/16
発見日(米国日付)00/05/09
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 




ウイルスの特性
*注:適切なEXTRA.DATまたは4077 DATを適用後、スキャン時に拡張子.VBS、.HTMが含まれていることを確認してください。

このウイルスは、VBS/Loveletter.aの亜種です。この亜種の置換手法は他の亜種と同じですが、ファイルの感染方法およびシステムによる使用方法に新たな手法が取り入れられています。つまり、Windows Scripting Hostのデフォルト拡張子を使用せずに、スクリプトファイルとしてファイル拡張子.GIFおよび.JPGでインタフェースを取り、実行します。

これはウイルス性を有するVBScriptウイルスです。このウイルスは、以下のような画像を示唆するEメールの形でユーザーの元に届きますが、実際はウイルスです。

件名: "Image of the Millenium"
本文: "Hi, my name is Nelma Marisa, and I'm here to present the Image of the Millenium. Just unzip Nelma.zip and read the readme file included first. Then open the image called Millenium.gif. Thanks..."
添付ファイル:"nelma.zip"

.ZIPファイルには以下のファイルが含まれます。

MILLENNIUM.GIF [5,537バイト]
NELMA.DLL [64,512バイト - 隠し属性]
README.BAT [548バイト]

実際には、ファイルMILLENNIUM.GIFは.GIF拡張子を持つVBScriptファイルです。また、ファイルNELMA.DLLは実行ファイルで、ファイルREADME.BATにはバッチスクリプトが含まれます。ユーザーがREADME.BATを実行した場合、以下のメッセージが画面に表示されます。

Image Of The Millenium
Hello guys, my name is Nelma Marisa and I'm here to present the image of the millenium. Don't you know me??? Sure you know...

If you don't, just try to find me :))
Let's get to the real stuff.
Processing image...
Process complete!
Now, you just have to open the Image called Millenium.Gif...
Good luck,
Nelma!

スクリプトは、バックグラウンドでnelma.dllを実行してProcessImageというルーチンを実行します。NELMA.DLLには、システムレジストリを以下のように追加および変更する命令が含まれます。

--------Registry key values changed:-----
HKEY_LOCAL_MACHINE\Software\CLASSES\giffile\shell\open\command
from "@"=""C:\PROGRA~1\INTERN~1\iexplore.exe" -nohome"
to "@"="C:\WINDOWS\WScript.exe "%1" %*"

HKEY_LOCAL_MACHINE\Software\CLASSES\jpegfile\shell\open\command
from "@"=""C:\PROGRA~1\INTERN~1\iexplore.exe" -nohome"
to "@"="C:\WINDOWS\WScript.exe "%1" %*"

--------Registry key values added:-----
HKEY_LOCAL_MACHINE\Software\CLASSES\giffile
\ScriptEngine\@="VBScript"
HKEY_LOCAL_MACHINE\Software\CLASSES\giffile\shell
\open\DDEExec2\@=""file:%1",,-1,,,,,"
HKEY_LOCAL_MACHINE\Software\CLASSES\giffile\shell
\open\DDEExec2\Application\@="IExplore"
HKEY_LOCAL_MACHINE\Software\CLASSES\giffile\shell
\open\DDEExec2\Topic\@="WWW_OpenURL"
HKEY_LOCAL_MACHINE\Software\CLASSES\jpegfile
\ScriptEngine\@="VBScript"
HKEY_LOCAL_MACHINE\Software\CLASSES\jpegfile\shell
\open\DDEExec2\@=""file:%1",,-1,,,,,"
HKEY_LOCAL_MACHINE\Software\CLASSES\jpegfile\shell
\open\DDEExec2\Application\@="IExplore"
HKEY_LOCAL_MACHINE\Software\CLASSES\jpegfile\shell
\open\DDEExec2\Topic\@="WWW_OpenURL"

これらの変更は、基本的に動的データ交換とWscript.exe を使用して.GIFおよび.JPGタイプのファイルをVBScriptダイレクト実行ファイルとして扱うようコンピュータに指示するものです。

変更後、ウイルスは、以下の場所に自分自身のコピーを作成します(ハードドライブのルートから)。

NELMA.GIF
WINDOWS\W32DLL.DLL.GIF
WINDOWS\NELMA.GIF
WINDOWS\SYSTEM\NELMA.GIF
WINDOWS\SYSTEM\NELMA.HLP.GIF

また、このウイルスは、ハードドライブ全体を走査し、ローカルマシンに保存されている可能性のあるオリジナルのNELMA.ZIP ファイルをWINDOWS\SYSTEMフォルダにコピーし、後にEメールを介した配布に使用します。

次に、ウイルスは、以下のレジストリキーを修正し、次回のWindowsの再起動時にウイルスをロードさせようとします。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
WinHLP32=WINDOWS\SYSTEM\NELMA.HLP.GIF

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\Win32DLL=WINDOWS\W32DLL.DLL.GIF

しばらくの休止時間の後、このウイルスはMicrosoft Outlookを用いて、自分自身をアドレスブック内のすべての宛先に送付します。このメールは最初に受信したものと内容は同一です。

次に、このウイルスは、ホストシステムに接続されているすべてのドライブを走査し、すべてのファイルを様々な方法で変更します。

このウイルスは以下のファイルタイプを認識し、同じファイル名で自分自身のコピーを作成して拡張子.GIFを追加します。

*.CSS
*.HTA
*.JS
*.JSE
*.WSH

オリジナルファイルは削除されます。また、以下の拡張子のファイルを検索し、同じファイル名で自分自身のコピーを作成し、さらにオリジナルファイル名に拡張子.VBSを追加します。

*.JPG
*.JPEG

次に、以下の拡張子のファイルを検索し、同じファイル名で自分自身のコピーを作成し、さらにオリジナルファイル名に拡張子.VBSを追加します。

*.MP2
*.MP3

オリジナルファイルには隠し属性が付加されます。また、ウイルスは、その他すべてのファイルに隠し属性を付加し、同じファイル名で自分自身のコピーを作成して拡張子.JPGを追加します。さらに、WINDOWS\SYSTEMフォルダにある.ZIPファイルNelma.zipを配布するため、mIRCがIRCチャンネルへの接続に使用するSCRIPT.INI設定ファイルを修正します。

症状
EメールまたはIRC によるNELMA.ZIPの受信、システム上のファイルの修正、レジストリの変更は上記のとおりです。

感染方法
このウイルスは、Windows Scripting Hostがインストールされている場合に実行されます。受信したEメールの添付ファイルを無意識または意図的に実行すると、ローカルシステムにインストールされます。また、Eメールの添付ファイルとして、またインストールされている場合にはIRCを介して送信され、使用可能なすべてのドライブにインストールされます。

VirusScanによる駆除方法
駆除の方法

VirusScanでVBS/Loveletter(およびその亜種)を検出した場合、「駆除」ボタンを押せばVBS/Loveletterワームが駆除されます。


駆除の内容
  • VirusScanが検出したワームファイルが削除されます。
    (例:MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS)

  • ワームファイル削除時に、レジストリ内容も削除されます。
    (例: WINDOWS\WIN32DLL.VBS を駆除した時に、
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices\Win32DLL=WINDOWS\Win32DLL.vbsが削除されます。)

注:
  1. インターネットエクスプローラのスタートアップ・ページについては以下の手順で復帰させてください。
    「ツール」→「インターネットオプション」を表示し、「全般」タブの中の「ホームページ」の「アドレス」欄を、お客様の設定したいたアドレスに書き換え、最後に「OK」をクリックしてください。

  2. 駆除を行った際、駆除エラーと表示されることがありますが、実際には駆除は行われています。