製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:V
ウイルス情報
ウイルス情報

ウイルス名
VBS/Valentin@MM
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4121
対応定義ファイル
(現在必要とされるバージョン)
4121 (現在7563)
対応エンジン4.0.35以降 (現在5600) 
エンジンバージョンの見分け方
別名Valentin.A(CA), Valentine(F-Prot), VBS.Valentin.A
情報掲載日01/02/14
発見日(米国日付)01/02/12
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/15W32/Sdbot.wo...
09/15W32/Virus.ge...
09/15FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7563
 エンジン:5600
 
ウイルス検索
 





    VBS/Valentin@MMは、Internet Explorerのスタート・ページをスペイン語のウェブサイトにする、VBS/San@M.ItVBS/San@Mとも類似しています。)と同じ作者により作成されたと信じられています。

    このウイルスはHTMLファイルに組み込まれており、VBScriptのEncodeメソッドを使い、部分的にそのコードを暗号化しています。また、いわゆる、”Scriptlet.TypeLib”の脆弱点を利用しています。

    ウイルス性のコードが実行されると、ウイルスはスタートアップフォルダの”c:\WINDOWS\Start Menu\Programs\Startup\loveday14-b.hta”というファイル名で自分自身をコピーします。もしWindowsのスペイン語バージョンが検知された場合には、スタートアップフォルダの”"c:\WINDOWS\Men・Inicio\Programas\Inicio\loveday14-b.hta”に対応するものへ、自分自身をコピーします。

    ”main.html”というファイルが作成されます。

    このウイルスはOutlookのアドレス・ブックにあるすべての受取人に自分自身を送信します。このメッセージのサブジェクトは空のままのこされており、添付ファイルはありません。このEメールのメッセージ本文にはHTMLフォーマットでウイルス・コードが含まれています。

    このウイルスは、ランダムに選んだスペイン・テレコム・プロバイダーのモバイル電話のアドレスに、Eメールのメッセージを送信します。これらのメッセージは下記のような情報を含んでいます。

    Subject: "Feliz san valentin"
    Body: "Feliz san valentin. Por favor visita" (followed by a link to a Spanish website, infected by the virus author.)

    このウイルスは、自分自身を”main.html”としてほかのIRCユーザーに送信するため、mIRCインターネット・リレー・チャットのクライアントを使います。

    もし、日付けが8、14、23、29日のいずれかならば、このウイルスはCドライブのすべてのファイルをスペイン語に書き換えようとします。書きかえられたファイルは、オリジナルのファイル名に.TXTという拡張子を付けたものになります。(たとえば、”C:\COMMAND.COM”は、”C:\COMMAND.COM.TXT”というふうに書き換えられます。)

    これらの書き換えられたファイルは以下のテキストを含みます。

    Hola, me llamo Onel2 y voy a utilizar tus archivos para declararle mi amora Davinia, la chica mas guapa del mundo.
    Feliz san Valentin Davinia. Eres la mas bonita y la mas simpatica.
    Todos los dias a todas horas pienso en ti y cada segundo que no te veoes un infierno.
    Quieres salir conmigo?
    En cuanto a ti usuario, debo decirte que tus ficherosno han sido contaminados por un virus,sino sacralizados por el amor que siento por Davinia.
    Some visible parts of the code are:
    "Que cosa mas tonta".
    "loveday14 by Onel2 Melilla, Espaa"
    "feliz san valentin davinia"

    以下のような兆候があるときにはこのウイルスにご注意ください。

  • ”loveday14-b.hta”というファイルが存在する場合
  • Outlook Expressの署名が変更された場合
  • Internet Explorerのスタート・ページが変わっており、スペイン語のウェブサイトにセットされている場合
  • (EXE.TXTのように)拡張子が二つのスペイン語で上書きされたファイルがある場合
  • 感染方法

    HTMLフォーマットで作成されたEメールメッセージを開くと、そこに含まれたスクリプトがインターネット・ウイルスをシステムにインストールします。これは、”Scriptlet.TypeLib”の脆弱点を利用しています。もし、プレビュー・ウインドウが動作可能なら、単にメッセージのサブジェクトをハイライトさせただけでも、ウイルスは実行可能になってしまします。このHTAファイルはローカル・マシーンにHTMLファイルとして書き込まれ、両方がシステム・スタートアップと、それぞれのHTMLフォーマットのEメールメッセージに作成されます。

    駆除方法

    検知と駆除には、指定されたエンジンとDATファイルを御使いください。 このインターネットウイルスを駆除するには、いくつかのステップが必要です。

  • Eメール・クライアントを閉じる
  • このウイルスに関係のある、.HTAあるいは(または両方)、.HTMLという拡張子のファイルを削除する
  • 「プレビュー・ウィンドウ」を閉じる(オプション)
  • デフォルトのEメールの署名設定を削除する(Tool→Option→署名)
  • 必要ではないメッセージを削除する(スクリプトが埋め込まれているかもしれません)
  • ユーザーは御使いのWindows環境から、Windowsスクリプティング・ホストを削除することで、役に立つかも知れません。Windows 9xでこれを行うには、「コントロールパネル」から「プログラムの追加/削除」を選択します。「Windowsセットアップ」タブをクリックし、「アクセサリー」をダブルクリックします。「Windows スクリプト・ホスト」まで下にスクロールし、チェックをはずします。「OK」を選択します。システムの再起動が必要な場合もあります。その他のヘルプ、サポート情報については、マイクロソフトのサイトを訪れてみてください。

    「制限付きサイト」ゾーンの「アクティブ スクリプティング」を使用不可に、「制限付きサイト」ゾーンのEメールを実行にしたい場合は:

  • Internet Explorerを立ちあげる
  • 「ツール」を選択→「インターネットオプション」を選択
  • 「セキュリティ」タブをクリック
  • 「制限付きサイト」のゾーンを選択し、「カスタム」を選択します。
  • 「アクティブ スクリプティング」まで下にスクロールし、「使用不可」あるいは「プロンプト」にセット
  • 「OK」を押す
  • Outlookを立ち上げる
  • 「ツール」メニューを選択
  • 「セキュリティ」タブを選択
  • 「セキュリティゾーン」セクションの中で、「制限付きサイト」ゾーンを選択