ウイルス情報

ウイルス名

VBS/Loveletter.t

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4078
対応定義ファイル
(現在必要とされるバージョン)
4078 (現在7628)
対応エンジン 4.0.35以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 00/05/16
発見日(米国日付) 00/05/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


ウイルスの特性
*注:適切なEXTRA.DATまたは4077 DATを適用後、スキャン時に拡張子.VBS、.HTMが含まれていることを確認してください。

このウイルスは、VBS/Loveletter.aが修正された亜種です。件名、本文、添付ファイル名、ターゲットファイルが変更されています。

これはウイルス性を有するVBScriptウイルスです。以下のような形のEメールでユーザーの元に届きます。

件名: "Recent Virus Attacks-Fix"
本文: "Attached is a copy of a script that will reverse effects of the LOVE-LETTER-TO-YOU.TXT.vbs as well as the FW:JOKE, Mother's Day and Lithuanian Siblings."
添付ファイル:"BAND-AID.DOC.vbs"

ユーザーが添付ファイルを実行した場合、このウイルスはWindows Scripting Hostを用いて発動します。Windows Scripting Hostは、通常、Internet Explorer v5がインストールされているWindows9x、NTにのみ導入されています。

このウイルスが発動すると、Loveletterウイルスは以下の場所に自分自身のコピーを落し込み、.HTMファイルを作成します。

WINDOWS\MSKernel32.vbs
WINDOWS\SYSTEM\Win32DLL.vbs
WINDOWS\SYSTEM\BAND-AID.DOC.vbs
WINDOWS\SYSTEM\BAND-AID.HTM

また以下のレジストリキーを追加し、システム起動時に自分自身を起動させようとします。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\MSKernel32=WINDOWS\SYSTEM\MSKernel32.vbs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\Win32DLL=WINDOWS\Win32DLL.vbs

このウイルスは、ホストシステムに接続されているすべてのドライブを走査し、以下の拡張子のファイルを自分自身のコピーと置換し、さらにオリジナルファイル名に拡張子.VBSを追加します。

*.BAT
*.CSS
*.JS
*.JSE
*.HTA
*.SCT
*.WSH

つまり、PICT.JPGは PICT.JPG.VBSに置換され、このファイルにウイルスが含まれます。

またこのウイルスは以下のファイルを自分自身のコピーで上書きし、ファイル名を*.VBSに置き換えます。

*.BAK
*.BMP
*.CAB
*.DOC
*.GIF
*.HTM
*.HTML
*.INF
*.JPG
*.JPEG
*.LNK
*.MNY
*.MP2
*.MP3
*.RTF
*.TIF
*.TIFF
*.TXT
*.WAV
*.XML
*.ZIP

このウイルスは、MIRCがインストールされている場合、BAND-AID.HTMファイルを送信するためSCRIPT.INIファイルを修正します。ただし、このファイルは存在しないため、このウイルスにより作成されません。

しばらくの休止時間の後、このウイルスはMicrosoft Outlookを用いて、自分自身をアドレスブック内のすべての宛先に送付します。このメールは最初に受信したものと内容は同一です。

このウイルスには、この他、WIN-BUGSFIX.EXEという実行ファイルをインターネットからダウンロードしようとするという、トリッキーな動作があります。このダウンロードリンクは無効になっています。

この実行ファイルはパスワード詐取プログラムです。キャッシュされているすべてのパスワードを、MAILME@SUPER.NET.PHへと送付します。

このダウンロードを実行するために、Loveletterウイルスは、Microsoft Internet Explorerのスタートアップページを、パスワード詐取トロイの木馬のアドレスを指すように、改変します。

このトロイの木馬によって送付されるメール内容は以下のような内容です。

-------------copy of email sent-----------
From: [victim machine name]@[victim IP address]
To: mailme@super.net.ph
Subject: Barok... email.passwords.sender.trojan
X-Mailer: Barok... email.passwords.sender.
trojan---by: spyder
Host: [machine name]
Username: [user name]
IP Address: [victim IP address]
RAS Passwords:...[victim password info]
Cache Passwords:...[victim password info]
-------------copy of email sent-----------

このパスワード詐取トロイの木馬は、以下のレジストリキーを介して、システム起動時に自動的に作動するよう設定されます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\WIN-BUGSFIX

作動後に、このトロイの木馬は自分自身を、WINDOWS\SYSTEM\WinFAT32.EXEへとコピーし、レジストリキーを以下のように置き換えます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\WinFAT32=WinFAT32.EXE

症状
存在するファイル、ファイルの置換、Eメールの伝搬は上記のとおりです。

感染方法
このウイルスは、Windows Scripting Hostがインストールされている場合に実行されます。受信したEメールの添付ファイルを無意識または意図的に実行すると、ローカルシステムにインストールされます。また、Eメールの添付ファイルとして、またインストールされている場合にはIRCを介して送信され、使用可能なすべてのドライブにインストールされます。

VirusScanによる駆除方法
駆除の方法

VirusScanでVBS/Loveletter(およびその亜種)を検出した場合、「駆除」ボタンを押せばVBS/Loveletterワームが駆除されます。


駆除の内容
  • VirusScanが検出したワームファイルが削除されます。
    (例:MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS)

  • ワームファイル削除時に、レジストリ内容も削除されます。
    (例: WINDOWS\WIN32DLL.VBS を駆除した時に、
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices\Win32DLL=WINDOWS\Win32DLL.vbsが削除されます。)

注:
  1. インターネットエクスプローラのスタートアップ・ページについては以下の手順で復帰させてください。
    「ツール」→「インターネットオプション」を表示し、「全般」タブの中の「ホームページ」の「アドレス」欄を、お客様の設定したいたアドレスに書き換え、最後に「OK」をクリックしてください。

  2. 駆除を行った際、駆除エラーと表示されることがありますが、実際には駆除は行われています。