製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
VBS/San@M
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4121
対応定義ファイル
(現在必要とされるバージョン)
4121 (現在7535)
対応エンジン4.0.35以降 (現在5600) 
エンジンバージョンの見分け方
別名San(F-Prot), San.A(CA), VBS.San.A
情報掲載日01/02/14
発見日(米国日付)01/02/12
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/18W32/Expiro!7...
08/18GenericR-AXH...
08/18Generic.dx!B...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7535
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る

    このVisual Basic Scriptウイルスは、2001年2月11日、AVERTウイルスパトロールにより、Usenet postingの中で発見されました。
    このウイルスはHTMLファイルに組み込まれており、VBScriptのEncodeメソッドを使い、部分的にそのコードを暗号化しています。また、いわゆる、”Scriptlet.TypeLib”の脆弱点を利用しています。

    ウイルス性のコードが実行されると、ウイルスはスタートアップフォルダの”c:\WINDOWS\Start Menu\Programs\Startup\loveday14-b.hta”というファイル名で自分自身をコピーします。もしWindowsのスペイン語バージョンが検知された場合には、スタートアップフォルダの”"c:\WINDOWS\Men・Inicio\Programas\Inicio\loveday14-b.hta”に対応するものへ、自分自身をコピーします。

    この.htaファイルは、それぞれのシステムのスタートアップで実行されます。このウイルスは、”index.html”というファイルを作成します。”index.html”はOutlook Expressの中で感染ユーザーの署名になります。結果として、感染したマシーンから送信されたメッセージは、ウイルスコードを含んでいることになります。

    このウイルスは、Internet Explorer のスタートページをスペイン語のウェブサイトに設定します。このウェブサイトは、別のウイルス、「VBS/Valentin@MM.」を含んだページです。

    もし、日付けが8、14、23、29日のいずれかならば、このウイルスはCドライブのルートレベルのディレクトリの内容を消去しようとします。”happysanvalentin”と名付けられたフォルダが、それぞれのサブフォルダとして作成されます。(例:C:\Windows\happysanvalentin)

    このウイルスコードは以下のようなコメントを含んでいます。
    ”loveday14 by Onel2 Melilla, Espaa 'feliz san valentin davinia.”

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

  • ”loveday14-b.hta”というファイルが存在する場合
  • Outlook Expressの署名が変更された場合
  • Internet Explorerのスタート・ページが変わっており、スペイン語のウェブサイトにセットされている場合
  • C:\の中のディレクトリに”happysanvalentin”という名前のサブフォルダが含まれる場合
  • Cドライブの中のファイルが見つからない場合
  • 感染方法TOPへ戻る

    HTMLフォーマットで作成されたEメールメッセージを開くと、そこに含まれたスクリプトがインターネット・ウイルスをシステムにインストールします。これは、”Scriptlet.TypeLib”の脆弱点を利用しています。もし、プレビュー・ウインドウが動作可能なら、単にメッセージのサブジェクトをハイライトさせただけでも、ウイルスは実行可能になってしまします。このHTAファイルはローカル・マシーンにHTMLファイルとして書き込まれ、両方がシステム・スタートアップと、それぞれのHTMLフォーマットのEメールメッセージに作成されます。

    駆除方法TOPへ戻る

    検知と駆除には、指定されたエンジンとDATファイルを御使いください。 このインターネットウイルスを駆除するには、いくつかのステップが必要です。

  • Eメール・クライアントを閉じる
  • このウイルスに関係のある、.HTAあるいは(または両方)、.HTMLという拡張子のファイルを削除する
  • 「プレビュー・ウィンドウ」を閉じる(オプション)
  • デフォルトのEメールの署名設定を削除する(Tool→Option→署名)
  • 必要ではないメッセージを削除する(スクリプトが埋め込まれているかもしれません)
  • ユーザーは御使いのWindows環境から、Windowsスクリプティング・ホストを削除することで、役に立つかも知れません。Windows 9xでこれを行うには、「コントロールパネル」から「プログラムの追加/削除」を選択します。「Windowsセットアップ」タブをクリックし、「アクセサリー」をダブルクリックします。「Windows スクリプト・ホスト」まで下にスクロールし、チェックをはずします。「OK」を選択します。システムの再起動が必要な場合もあります。その他のヘルプ、サポート情報については、マイクロソフトのサイトを訪れてみてください。

    「制限付きサイト」ゾーンの「アクティブ スクリプティング」を使用不可に、「制限付きサイト」ゾーンのEメールを実行にしたい場合は:

  • Internet Explorerを立ちあげる
  • 「ツール」を選択→「インターネットオプション」を選択
  • 「セキュリティ」タブをクリック
  • 「制限付きサイト」のゾーンを選択し、「カスタム」を選択します。
  • 「アクティブ スクリプティング」まで下にスクロールし、「使用不可」あるいは「プロンプト」にセット
  • 「OK」を押す
  • Outlook Expressを立ち上げる
  • 「ツール」メニューを選択
  • 「セキュリティ」タブを選択
  • 「セキュリティゾーン」セクションの中で、「制限付きサイト」ゾーンを選択