製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス情報

ウイルス名
VBS/Loveletter.z
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)		4077
対応定義ファイル
(現在必要とされるバージョン)		4077 (現在7109)
対応エンジン4.0.35以降 (現在5.4.00) 
エンジンバージョンの見分け方
情報掲載日00/05/16
発見日(米国日付)00/05/09
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
06/16VBS/LoveLett...
06/16RDN/AutoRun....
06/16RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7109
 エンジン:5.4.00
 
ウイルス検索
 




ウイルスの特性
*注:適切なEXTRA.DATまたは4077 DATを適用後、スキャン時に拡張子.VBS、.HTMが含まれていることを確認してください。

このウイルスは、VBS/Loveletter.aの亜種です。主に、ターゲットファイル、Eメールメッセージと添付ファイル、作成されるファイルが異なります。

これはウイルス性を有するVBScriptウイルスです。このウイルスは、以下のようなVBS/Loveletterウイルスの修正を示唆するEメールの形でユーザーの元に届きますが、実際はウイルスです。

件名: "BUG & VIRUS FIX"
本文: "I got this from our system admin.Run this to help pervent any recent or future bug & virus attack's.It may take a small while up update your files."
添付ファイル:"MAJOR BUG & VIRUS FIX.vbs"

ユーザーが添付ファイルを実行した場合、このウイルスはWindows Scripting Hostを用いて発動します。Windows Scripting Hostは、通常、Internet Explorer v5がインストールされているWindows9x、NTにのみ導入されています。

このウイルスが発動すると、Loveletterウイルスは以下の場所に自分自身のコピーを落し込み、.HTMファイルを作成します。

WINDOWS\WIN32DLL.VBS
WINDOWS\SYSTEM\MSKERNEL32.VBS
WINDOWS\SYSTEM\MAJOR BUG & VIRUS FIX.vbs
WINDOWS\SYSTEM\MAJOR BUG & VIRUS FIX.HTM

また以下のレジストリキーを追加し、システム起動時に自分自身を起動させようとします。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
MSKernel32=WINDOWS\SYSTEM\MSKernel32.vbs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices\Win32DLL=WINDOWS\Win32DLL.vbs

このウイルスは、ホストシステムに接続されているすべてのドライブを走査し、以下の拡張子のファイルと同じファイル名で自分自身をコピーし、さらに拡張子.VBSを追加します。

*.MP3
*.VBE
*.VBS

またこのウイルスは以下のファイルを自分自身のコピーで上書きし、ファイル名を*.VBSに置き換えます。

*.BAT
*.COM
*.DLL
*.EXE
*.SYS
*.TXT

このウイルスはMAJOR BUG & VIRUS FIX.HTMというファイルを生成します。このファイルにはウイルス自体が含まれています。またシステムにmIRCクライアントがインストールされている場合、このファイルがIRCチャンネルに送付されます。この動作は、ウイルスがSCRIPT.INIを置きかえることにより実行されます。

しばらくの休止時間の後、このウイルスはMicrosoft Outlookを用いて、自分自身をアドレスブック内のすべての宛先に送付します。このメールは最初に受信したものと内容は同一です。

症状
存在するファイル、ファイルの置換、Eメールの伝搬は上記のとおりです。

感染方法
このウイルスは、Windows Scripting Hostがインストールされている場合に実行されます。受信したEメールの添付ファイルを無意識または意図的に実行すると、ローカルシステムにインストールされます。また、Eメールの添付ファイルとして、またインストールされている場合にはIRCを介して送信され、使用可能なすべてのドライブにインストールされます。

VirusScanによる駆除方法
駆除の方法

VirusScanでVBS/Loveletter(およびその亜種)を検出した場合、「駆除」ボタンを押せばVBS/Loveletterワームが駆除されます。

駆除の内容
  • VirusScanが検出したワームファイルが削除されます。
    (例:MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS)

  • ワームファイル削除時に、レジストリ内容も削除されます。
    (例: WINDOWS\WIN32DLL.VBS を駆除した時に、
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices\Win32DLL=WINDOWS\Win32DLL.vbsが削除されます。)
注:
  1. インターネットエクスプローラのスタートアップ・ページについては以下の手順で復帰させてください。
    「ツール」→「インターネットオプション」を表示し、「全般」タブの中の「ホームページ」の「アドレス」欄を、お客様の設定したいたアドレスに書き換え、最後に「OK」をクリックしてください。

  2. 駆除を行った際、駆除エラーと表示されることがありますが、実際には駆除は行われています。