ウイルス情報

ウイルス名

VBS/Loveletter.y

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4077
対応定義ファイル
(現在必要とされるバージョン)
4077 (現在7652)
対応エンジン 4.0.35以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 00/05/16
発見日(米国日付) 00/05/09
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


ウイルスの特性
*注:適切なEXTRA.DATまたは4077 DATを適用後、スキャン時に拡張子.VBS、.HTMが含まれていることを確認してください。

このウイルスは、VBS/Loveletter.aの亜種です。この亜種の置換手法は他の亜種と同じですが、ファイルの感染方法およびシステムによる使用方法に新たな手法が取り入れられています。つまり、Windows Scripting Hostのデフォルト拡張子を使用せずに、スクリプトファイルとしてファイル拡張子.GIFおよび.JPGでインタフェースを取り、実行します。

これはウイルス性を有するVBScriptウイルスです。このウイルスは、以下のような画像を示唆するEメールの形でユーザーの元に届きますが、実際はウイルスです。

件名: "Image of the Millenium"
本文: "Hi, my name is Nelma Marisa, and I'm here to present the Image of the Millenium. Just unzip Nelma.zip and read the readme file included first. Then open the image called Millenium.gif. Thanks..."
添付ファイル:"nelma.zip"

.ZIPファイルには以下のファイルが含まれます。

MILLENNIUM.GIF [5,537バイト]
NELMA.DLL [64,512バイト - 隠し属性]
README.BAT [548バイト]

実際には、ファイルMILLENNIUM.GIFは.GIF拡張子を持つVBScriptファイルです。また、ファイルNELMA.DLLは実行ファイルで、ファイルREADME.BATにはバッチスクリプトが含まれます。ユーザーがREADME.BATを実行した場合、以下のメッセージが画面に表示されます。

Image Of The Millenium
Hello guys, my name is Nelma Marisa and I'm here to present the image of the millenium. Don't you know me??? Sure you know...

If you don't, just try to find me :))
Let's get to the real stuff.
Processing image...
Process complete!
Now, you just have to open the Image called Millenium.Gif...
Good luck,
Nelma!

スクリプトは、バックグラウンドでnelma.dllを実行してProcessImageというルーチンを実行します。NELMA.DLLには、システムレジストリを以下のように追加および変更する命令が含まれます。

--------Registry key values changed:-----
HKEY_LOCAL_MACHINE\Software\CLASSES\giffile\shell\open\command
from "@"=""C:\PROGRA~1\INTERN~1\iexplore.exe" -nohome"
to "@"="C:\WINDOWS\WScript.exe "%1" %*"

HKEY_LOCAL_MACHINE\Software\CLASSES\jpegfile\shell\open\command
from "@"=""C:\PROGRA~1\INTERN~1\iexplore.exe" -nohome"
to "@"="C:\WINDOWS\WScript.exe "%1" %*"

--------Registry key values added:-----
HKEY_LOCAL_MACHINE\Software\CLASSES\giffile
\ScriptEngine\@="VBScript"
HKEY_LOCAL_MACHINE\Software\CLASSES\giffile\shell
\open\DDEExec2\@=""file:%1",,-1,,,,,"
HKEY_LOCAL_MACHINE\Software\CLASSES\giffile\shell
\open\DDEExec2\Application\@="IExplore"
HKEY_LOCAL_MACHINE\Software\CLASSES\giffile\shell
\open\DDEExec2\Topic\@="WWW_OpenURL"
HKEY_LOCAL_MACHINE\Software\CLASSES\jpegfile
\ScriptEngine\@="VBScript"
HKEY_LOCAL_MACHINE\Software\CLASSES\jpegfile\shell
\open\DDEExec2\@=""file:%1",,-1,,,,,"
HKEY_LOCAL_MACHINE\Software\CLASSES\jpegfile\shell
\open\DDEExec2\Application\@="IExplore"
HKEY_LOCAL_MACHINE\Software\CLASSES\jpegfile\shell
\open\DDEExec2\Topic\@="WWW_OpenURL"

これらの変更は、基本的に動的データ交換とWscript.exe を使用して.GIFおよび.JPGタイプのファイルをVBScriptダイレクト実行ファイルとして扱うようコンピュータに指示するものです。

変更後、ウイルスは、以下の場所に自分自身のコピーを作成します(ハードドライブのルートから)。

NELMA.GIF
WINDOWS\W32DLL.DLL.GIF
WINDOWS\NELMA.GIF
WINDOWS\SYSTEM\NELMA.GIF
WINDOWS\SYSTEM\NELMA.HLP.GIF

また、このウイルスは、ハードドライブ全体を走査し、ローカルマシンに保存されている可能性のあるオリジナルのNELMA.ZIP ファイルをWINDOWS\SYSTEMフォルダにコピーし、後にEメールを介した配布に使用します。

次に、ウイルスは、以下のレジストリキーを修正し、次回のWindowsの再起動時にウイルスをロードさせようとします。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
WinHLP32=WINDOWS\SYSTEM\NELMA.HLP.GIF

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\Win32DLL=WINDOWS\W32DLL.DLL.GIF

しばらくの休止時間の後、このウイルスはMicrosoft Outlookを用いて、自分自身をアドレスブック内のすべての宛先に送付します。このメールは最初に受信したものと内容は同一です。

次に、このウイルスは、ホストシステムに接続されているすべてのドライブを走査し、すべてのファイルを様々な方法で変更します。

このウイルスは以下のファイルタイプを認識し、同じファイル名で自分自身のコピーを作成して拡張子.GIFを追加します。

*.CSS
*.HTA
*.JS
*.JSE
*.WSH

オリジナルファイルは削除されます。また、以下の拡張子のファイルを検索し、同じファイル名で自分自身のコピーを作成し、さらにオリジナルファイル名に拡張子.VBSを追加します。

*.JPG
*.JPEG

次に、以下の拡張子のファイルを検索し、同じファイル名で自分自身のコピーを作成し、さらにオリジナルファイル名に拡張子.VBSを追加します。

*.MP2
*.MP3

オリジナルファイルには隠し属性が付加されます。また、ウイルスは、その他すべてのファイルに隠し属性を付加し、同じファイル名で自分自身のコピーを作成して拡張子.JPGを追加します。さらに、WINDOWS\SYSTEMフォルダにある.ZIPファイルNelma.zipを配布するため、mIRCがIRCチャンネルへの接続に使用するSCRIPT.INI設定ファイルを修正します。

症状
EメールまたはIRC によるNELMA.ZIPの受信、システム上のファイルの修正、レジストリの変更は上記のとおりです。

感染方法
このウイルスは、Windows Scripting Hostがインストールされている場合に実行されます。受信したEメールの添付ファイルを無意識または意図的に実行すると、ローカルシステムにインストールされます。また、Eメールの添付ファイルとして、またインストールされている場合にはIRCを介して送信され、使用可能なすべてのドライブにインストールされます。

VirusScanによる駆除方法
駆除の方法

VirusScanでVBS/Loveletter(およびその亜種)を検出した場合、「駆除」ボタンを押せばVBS/Loveletterワームが駆除されます。


駆除の内容
  • VirusScanが検出したワームファイルが削除されます。
    (例:MSKERNEL32.VBS, WIN32DLL.VBS, LOVE-LETTER-FOR-YOU.TXT.VBS)

  • ワームファイル削除時に、レジストリ内容も削除されます。
    (例: WINDOWS\WIN32DLL.VBS を駆除した時に、
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices\Win32DLL=WINDOWS\Win32DLL.vbsが削除されます。)

注:
  1. インターネットエクスプローラのスタートアップ・ページについては以下の手順で復帰させてください。
    「ツール」→「インターネットオプション」を表示し、「全般」タブの中の「ホームページ」の「アドレス」欄を、お客様の設定したいたアドレスに書き換え、最後に「OK」をクリックしてください。

  2. 駆除を行った際、駆除エラーと表示されることがありますが、実際には駆除は行われています。