ニュースリリース - 2000/5/9
「ラブレターウイルス」亜種さらに発生続き、計21種
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は、Microsoft Outlookを利用して感染を広げるワーム「VBS_LOVELETTER」に関する亜種が引き続き発生しており、合計21種となったことをお知らせいたします。トレンドマイクロではすべての亜種にパターンファイル697以降で対応しています。
「VBS_LOVELETTER」亜種最新状況
現在のところ、以下の21種の亜種が確認されています。傾向としてウイルス対策のメッセージやパッチを装って送りつけるものが増えています。今後も同様の亜種・変種発生の怖れがあるため、最新ウイルス情報の確認、またワクチンソフトのパターンファイルの更新など、引き続きウイルス対策を行ってください。
また、弊社では「VBS_LOVELETTER」をUNIX上で動作させるべく移植を図ったものと見られる変種ウイルスコードも確認いたしました(「亜種P("UNIX"版)」)。この変種は正常に動作しないため現状で脅威はありませんが、今後このような移植を図る悪意の第三者の登場も予測されます。ご注意ください。
1)亜種B("Susitikim"版)
件名 | "Susitikim shi vakara kavos puodukui..." |
ウイルスコード | ウイルスコードの先頭にコメント文を1行追加 |
2)亜種C ("Very Funny"版)
件名 | "fwd: Joke" |
メール本文 | 無し |
E-Mail添付ファイル名 | "Very Funny.vbs" |
mIRC添付ファイル名 | "Very Funny.HTM" |
3)亜種D:ウイルスコードのみ相違
4)亜種E ("Mothersday"版)
件名 | "Mothers Day Order Confirmation" |
メール本文 | " We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place. Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com " |
E-Mail添付ファイル名 | "mothersday.vbs" |
mIRC添付ファイル名 | "mothersday.HTM" |
感染対象ファイル | ・拡張子"ini"、"bat"のファイルにも感染する。代わりに拡張子"jpg"、"jpeg"のファイルには感染しない。 ・ウイルスコード: ウイルスコード内の先頭2行のコメント文を変更 ・InternetExplorerのスタートアップページを米国のハッカーサイトのURLに書き換える。 |
5)亜種F ("Brainstorm"版)
件名 | "Important ! Read carefully !!" |
メール本文 | "Check the attached IMPORTANT coming from me !" |
E-Mail添付ファイル名 | "IMPORTANT.TXT.vbs" |
mIRC添付ファイル名 | "Important.HTM" |
作成ファイル名 | ワームが作成するファイル名が以下のように変更されています Win32DLL.vbs → ES32DLL.vbs MSKernel32.vbs→ ESKernel32.vbs |
6)亜種G ("Symantec Protect"版)
件名 | "Virus ALERT!!!" |
メール本文 | (本文は長文となるため詳細はWebをご覧ください) |
E-Mail添付ファイル名 | "protect.vbs" |
mIRC添付ファイル名 | "protect.htm" |
InternetExplorerの | 変更しない |
感染対象 | .com、.batの拡張子を持つファイルを追加 |
ウイルスコード | ウイルスコード先頭のコメント文を変更。 |
7)亜種H ("Virus Warning"版)
件名 | "Dangerous Virus Warning" |
メール本文 | "There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it." |
E-Mail添付ファイル名 | "virus_warning.jpg.vbs" |
mIRC添付ファイル名 | "urgent_virus_warning.htm" |
InternetExplorer | "setup24.exe"がダウンロードされるURLに変更。 |
感染対象 | .wav、.txt、.gif、.doc、.htm、.html、.xlsの拡張子のファイルを追加 |
ウイルスコード | ウイルスコード先頭2行のコメント文を削除 |
8)亜種I ("Protect"版) :ウイルスコードの相違
9)亜種J ("Packet Storm"版)
件名 | "Thank You For Flying With Arab Airlines" |
メール本文 | "Please check if the bill is correct, by opening the attached file." |
E-Mail添付ファイル名 | "ArabAir.TXT.vbs" |
mIRC添付ファイル名 | "no-hate-FOR-YOU.HTM" |
感染対象 | .sys、.dll、.exeの拡張子のファイルを追加 .mp2、.mp3、.jpeg、.jpgの拡張子のファイルを削除(感染しない) |
ウイルスコード | ウイルスコード先頭のコメント文を変更。 |
10)亜種K ("Virus Protection Instructions"版)
件名 | "How to protect yourself from the IL0VEY0U bug!" |
メール本文 | "Here’s the easy way to fix the love virus." |
E-Mail添付ファイル名 | "Virus-Protection-Instructions.vbs" |
mIRC添付ファイル名 | "Virus-Protection-Page.HTM" |
ウイルスコード | ウイルスコード先頭のコメント文を変更。 |
11)亜種L:ウイルスコードのみ相違
12)亜種M:ウイルスコードのみ相違
13)亜種N ("Software Testing"版)
件名 | "Variant Test" |
メール本文 | "This is a variant to the vbs virus." |
E-Mail添付ファイル名 | "IMPORTANT.TXT.vbs" |
mIRC添付ファイル名 | "IMPORTANT.HTM" |
InternetExplorerの | "setup24.exe"がダウンロードされるURLに変更。 |
感染対象 | .qt、.qtm、.mpeg、.mpg、.aviの拡張子のファイルを追加 .jpg、.jpeg、.mp3、.mp2の拡張子のファイルを削除(感染しない) |
ウイルスコード | ウイルスコード先頭2行のコメント文を削除 |
作成ファイル名 | ワームが作成するファイル名が以下のように変更されています Win32DLL.vbs → IEAKDLL.vbs /MSKernel32.vbs→ sndvol32.vbs これに伴い、自動起動を設定するレジストリ変更もこのファイル名を使用します。 |
14)亜種O:ウイルスコードのみ相違
15)亜種P ("UNIX"版)
オリジナルのウイルスコードをUNIX上で動作させるように移植を試みたものと思われる。移植は失敗しており、実際には動作しない。 |
16)亜種Q ("LOOK"版)
件名 | "LOOK!" |
メール本文 | "hehe...check this out." |
E-Mail添付ファイル名 | "LOOK.vbs" |
mIRC添付ファイル名 | "LOOK.HTM" |
感染対象 | .xls、.mdb、.lnk、.exeのファイルを追加。 .jpg、.jpeg、.mp3、.mp2のファイルを削除(感染しない) |
ウイルスコード | ウイルスコード先頭のコメント文を削除。 |
作成ファイル名 | ワームが作成するファイル名が以下のように変更されています。Win32DLL.vbs → User32DLL.vbs / MSKernel32.vbs→ MSUser32.vbs |
17)亜種R ("-"追加版)
レジストリエントリ:レジストリエントリに登録される文字列が以下のように変更されています。 "WIN-BUGSFIX.exe" → WIN--BUGSFIX.exe |
18)亜種S:ウイルスコードのみ相違
19)亜種T ("mePhIsToN"版)
件名 | "KillEmAll.TXT.vbs" |
メール本文 | "I Cant Believe I Have Just Recieved This Hate Email .. Take A Look! " |
E-Mail添付ファイル名 | "ArabAir.TXT.vbs" |
mIRC添付ファイル名 | "killer.HTM" 但し、mIRCの設定変更のコードが失われているため、実際にmIRCを介してこのファイルを送信することはありません。 |
感染対象 | .gif、.bmp、.wav、.midのファイルを追加。 .mp2、.mp3、.jpeg、.jpgのファイルを削除(感染しない)。 |
ウイルスコード | ウイルスコード先頭のコメント文を変更。 |
作成ファイル名 | ワームが作成するファイル名が以下のように変更されています。 Win32DLL.vbs → Killer2.vbs / MSKernel32.vbs→ Killer1.vbs |
20)亜種U ("BEWERBUNG"版)
件名 | "Bewerbung Kreolina" |
メール本文 | "Sehr geehrte Damen und Herren!" |
E-Mail添付ファイル名 | ""BEWERBUNG.TXT.vbs" |
mIRC添付ファイル名 | "BEWERBUNG.HTM" |
ウイルスコード | ウイルスコード先頭のコメント文を削除。 |
21)亜種V ("BAND-AID"版)
件名 | "Recent Virus Attacks-Fix" |
メール本文 | "Attached is a copy of a script that will reverse the effects of the LOVE-LETTER-TO-YOU.TXT.vbs as well as the FW JOKE, Mother's Day and Lithuanian Siblings." |
E-Mail添付ファイル名 | "BAND-AID.DOC.vbs" |
mIRC添付ファイル名 | 作成しない。 |
InternetExplorerの | 米国のハッカーサイトのURLに設定。このURLのWebは現在でも機能しているため、ここに具体的なURLは記しません。 |
感染対象 | .bat, .gif, .tif, .tiff, .wav, .mp2, .mp3, .lnk, .bak, .doc, .xls, .rtf, .txt,.htm, .html, .xml, .mny, .zip, .bmp, .cab, .inf |
・ウイルスコード | ウイルスコード先頭2行のコメント文を変更。 |
注意:以上の亜種に対して「手動削除手順」を行う場合、情報に応じてファイル名を読み替えて実行する必要があります。亜種D、I、L、M、0、Sはコードのみの相違であり、活動はオリジナルと同じであるため記載を省きます。なお、弊社製品では全ての亜種が「VBS_LOVELETTER-O」のウイルス名で検出されます。
以上
※TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
※各社の社名及び製品名は、各社の商標又は登録商標です。
