製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス名危険度
W32/Lovelorn@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4260
対応定義ファイル
(現在必要とされるバージョン)
4298 (現在7514)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Nolor@mm (Symantec): W32/Cailont-A (Sophos): W32/Lovelorn.dr: WORM_LOVELORN.A (Trend)
情報掲載日03/04/30
発見日(米国日付)03/04/28
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/28RDN/Download...
07/28Generic.dx!0...
07/28Generic Down...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7514
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Lovelorn@MMは、http://www.zdnet.com.au/newstech/security/story/0,2000048600,20274044,00.htmに記事が掲載されたので、危険度を“低[要注意]”にしました。この記事では、W32/Lovelorn@MMは“Nolor(aka Cailont)”という名前です。

・W32/Lovelorn@MMは大量メール送信型ワームで、自身のSMTPエンジンを使用してターゲットマシンから自身を送信します。実行ファイルで、またはHTMLドロッパを介して送信します。添付ファイルには以下のファイル名を使用します。

実行ファイル:%USERNAME%.KISS.OK.EXE
HTMLドッロッパ:%USERNAME%.HTM

“%USERNAME%”は、送信されるメッセージの送信者アドレスの一部です。送信者アドレスは偽造されるので(下記をご覧ください)、“%USERNAME%”には以下の値が使用されます。

  • LOVE_LORN
  • LOVELORN
  • THUYQUYEN
  • 偽造された送信者アドレスのその他の文字列(例:emailaddr@domain.comの場合は、“emailaddr”)

インストール

・W32/Lovelorn@MMが実行されると、%SysDir%ディレクトリに以下のファイルが書き込まれます。

  • Explorer.exe:ワームのコピー
  • Bsbk.dll:base64でエンコードされたHTMLドロッパのコピー
  • Kernel32.exe:ワームのコピー
  • mssys.dll:ターゲット電子メールアドレスを記載したテキストファイル
  • netdll.dll:ワームのコピー
  • netsn.dll:base64でエンコードされたワームのコピー
  • serscg.dll:ワームのコピー
  • setup.htm:htmlドロッパ

・以下のレジストリキーを追加して、次回以降コンピュータを再起動するたびにワームを実行します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "explorer" = "C:\WINDOWS\SYSTEM\explorer.exe"

HTMLドロッパ

・HTMLドロッパはVBScriptを含んでおり、tempフォルダにTEMP.EXEというファイル名でワームをコピーして実行します。上記のエンジンと定義ファイルを使用すると、このHTMLドロッパはW32/Lovelorn.drとして検出されます。

・このHTMLファイルには、以下の(ベトナム語の)短い詩も記載されています。

  • Tinh` cho khong bieu'
    (英語にすると、“Love given not told”です。)

大量メール送信

・W32/Lovelorn@MMは、自身のSMTPエンジンを使用してターゲットマシンから自身を送信します。テストでは、ターゲットマシン上のDBXファイルから収集したアドレスに自身を送信しました。

・送信者アドレスは、以下の電子メールアドレスで偽造されます。

  • lovelorn@yahoo.com
  • love_lorn@yahoo.com
  • thuyquyen@yahoo.com
  • ターゲットマシンのデフォルトのSMTP電子メールアドレス(レジストリから取得)
  • ターゲットマシンから抽出されたSMTP電子メールアドレス(例:DBXファイル)

・添付ファイル名の一部は、使用される送信者アドレスのローカル部分です。(例:emailaddr@domain.comの場合は“emailaddr”)実行ファイルの場合は“.KISS.OK.EXE”の前に、HTMLドロッパの場合は“.HTM”の前にこの文字列を挿入します(上記で説明したとおりです)。

・送信メッセージには、以下のようにさまざまな件名が使用されます。

  • There're some Passwords here
  • Re:Get Password mail...

・送信メッセージの本文も以下のようにさまざまです。

  • Enjoy
  • Read File attach .

フロッピーワーム繁殖

・このワームの文字列から、A:\NQH_Kiss_you.exeという名前で自身をフロッピーディスクにコピーすると考えられます。

プロセス終了

・このワームの文字列から、以下の文字列を含むすべてのプロセスを終了すると考えられます。

  • BKAV
  • NAVA

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルとレジストリキーが存在します。

感染方法TOPへ戻る

・W32/Lovelorn@MMは、自身のSMTPエンジンを使用して自身を送信します。%USERNAME%.KISS.OK.EXEというファイル名で送信メッセージに直接添付する、または%USERNAME%.HTMというファイル名のHTMLドロッパを介して自身を送信します。

・%USERNAME%は、電子メールメッセージの送信者アドレス(偽造されています)の一部です。