ウイルス情報

ウイルス名 危険度

W32/Lovelorn@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4260
対応定義ファイル
(現在必要とされるバージョン)
4298 (現在7633)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Nolor@mm (Symantec): W32/Cailont-A (Sophos): W32/Lovelorn.dr: WORM_LOVELORN.A (Trend)
情報掲載日 03/04/30
発見日(米国日付) 03/04/28
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Lovelorn@MMは、http://www.zdnet.com.au/newstech/security/story/0,2000048600,20274044,00.htmに記事が掲載されたので、危険度を“低[要注意]”にしました。この記事では、W32/Lovelorn@MMは“Nolor(aka Cailont)”という名前です。

・W32/Lovelorn@MMは大量メール送信型ワームで、自身のSMTPエンジンを使用してターゲットマシンから自身を送信します。実行ファイルで、またはHTMLドロッパを介して送信します。添付ファイルには以下のファイル名を使用します。

実行ファイル:%USERNAME%.KISS.OK.EXE
HTMLドッロッパ:%USERNAME%.HTM

“%USERNAME%”は、送信されるメッセージの送信者アドレスの一部です。送信者アドレスは偽造されるので(下記をご覧ください)、“%USERNAME%”には以下の値が使用されます。

  • LOVE_LORN
  • LOVELORN
  • THUYQUYEN
  • 偽造された送信者アドレスのその他の文字列(例:emailaddr@domain.comの場合は、“emailaddr”)

インストール

・W32/Lovelorn@MMが実行されると、%SysDir%ディレクトリに以下のファイルが書き込まれます。

  • Explorer.exe:ワームのコピー
  • Bsbk.dll:base64でエンコードされたHTMLドロッパのコピー
  • Kernel32.exe:ワームのコピー
  • mssys.dll:ターゲット電子メールアドレスを記載したテキストファイル
  • netdll.dll:ワームのコピー
  • netsn.dll:base64でエンコードされたワームのコピー
  • serscg.dll:ワームのコピー
  • setup.htm:htmlドロッパ

・以下のレジストリキーを追加して、次回以降コンピュータを再起動するたびにワームを実行します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "explorer" = "C:\WINDOWS\SYSTEM\explorer.exe"

HTMLドロッパ

・HTMLドロッパはVBScriptを含んでおり、tempフォルダにTEMP.EXEというファイル名でワームをコピーして実行します。上記のエンジンと定義ファイルを使用すると、このHTMLドロッパはW32/Lovelorn.drとして検出されます。

・このHTMLファイルには、以下の(ベトナム語の)短い詩も記載されています。

  • Tinh` cho khong bieu'
    (英語にすると、“Love given not told”です。)

大量メール送信

・W32/Lovelorn@MMは、自身のSMTPエンジンを使用してターゲットマシンから自身を送信します。テストでは、ターゲットマシン上のDBXファイルから収集したアドレスに自身を送信しました。

・送信者アドレスは、以下の電子メールアドレスで偽造されます。

  • lovelorn@yahoo.com
  • love_lorn@yahoo.com
  • thuyquyen@yahoo.com
  • ターゲットマシンのデフォルトのSMTP電子メールアドレス(レジストリから取得)
  • ターゲットマシンから抽出されたSMTP電子メールアドレス(例:DBXファイル)

・添付ファイル名の一部は、使用される送信者アドレスのローカル部分です。(例:emailaddr@domain.comの場合は“emailaddr”)実行ファイルの場合は“.KISS.OK.EXE”の前に、HTMLドロッパの場合は“.HTM”の前にこの文字列を挿入します(上記で説明したとおりです)。

・送信メッセージには、以下のようにさまざまな件名が使用されます。

  • There're some Passwords here
  • Re:Get Password mail...

・送信メッセージの本文も以下のようにさまざまです。

  • Enjoy
  • Read File attach .

フロッピーワーム繁殖

・このワームの文字列から、A:\NQH_Kiss_you.exeという名前で自身をフロッピーディスクにコピーすると考えられます。

プロセス終了

・このワームの文字列から、以下の文字列を含むすべてのプロセスを終了すると考えられます。

  • BKAV
  • NAVA

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルとレジストリキーが存在します。

TOPへ戻る

感染方法

・W32/Lovelorn@MMは、自身のSMTPエンジンを使用して自身を送信します。%USERNAME%.KISS.OK.EXEというファイル名で送信メッセージに直接添付する、または%USERNAME%.HTMというファイル名のHTMLドロッパを介して自身を送信します。

・%USERNAME%は、電子メールメッセージの送信者アドレス(偽造されています)の一部です。

TOPへ戻る