ニュースリリース - 2000/5/5
大規模感染警報・VAC-1「VBS_LOVELETTER」
~ウイルス添付ファイルを自動送信するワーム~
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は、Microsoft Outlookを利用して感染を広げるワーム「VBS_LOVELETTER」の大規模感染警報VAC-1を警告すると同時に、パターンファイル693以降で対応することをお知らせいたします。
対策(注意事項、パターンファイル、体験版など) ウイルス詳細情報 感染時の手動削除手順 亜種・変種情報
「VBS_LOVELETTER」概要
「VBS_LOVELETTER」は、Visual Basic Script で記述されたワームです。昨年、大きな話題となった「Melissa」と同様、Microsoft Outlookを利用してワームプログラム自身をメールアドレスに自動的に送信し感染を拡大していきます。5月4日に感染被害が確認され、現在非常に早いスピードで被害を広げています。
このワームによって送信されるメールに添付されている“LOVE-LETTER-FOR-YOU.TXT.vbs”というファイルを実行すると、まず、レジストリを改変し、自分自身の複製をコンピュータの中に作成します。また、Microsoft Outlook のアドレス帳に登録されたメールアドレスのすべてに対して、“LOVE-LETTER-FOR-YOU.TXT.vbs” というワームプログラム自身を添付したメールを自動送信します。
また、もっとも有名なIRC(インターネットリレイチャット)クライアントプログラムの「mIRC」を利用し、同じチャットルームに参加しているユーザすべてに対し、ワームプログラム自身を送信してしまいます。
さらに、マシン内にある特定の拡張子を持つファイルを探し出し、これに“感染”してオリジナルファイルを破壊してしまうという、悪質な破壊活動を持っています。感染(破壊)されるファイルのファイル名はそのままで、拡張子が「vbs」に変更されます。このため、“感染”されたファイルを実行すると、ワームの活動が再度発生します。(ただしメールの送信活動は一番最初に実行されたときしか行われません。)
- 「ILOVEYOU」という件名のメールを受信したら削除してください。
- 不審なファイルを実行(ダブルクリック)しないでください。
- vbsアイコンに変わってしまったファイルは実行しないでください。
●トレンドマイクロ製品ユーザ様向けソリューション
- パターンファイル693以降で対応します。このワームは、VBスクリプト型のため、駆除することはできません。ワクチンで検知後、後述の手動削除手順にて削除してください。
- パターンファイルダウンロード
●現在ウイルス対策製品をご使用でないお客様向けソリューション
- トレンドマイクロ社ホームページより、30日間有効期間中フル機能でご使用できる「ウイルスバスター2000」体験版【提供終了しました】をダウンロードし、パターンファイルを更新した後検知した場合、手動削除手順にて削除してください。
- トレンドマイクロ社ホームページより、「 ウイルスバスター オンラインスキャン 」にてマシンのウイルスチェックを実行し、検知した同様に手動削除してください。
ウイルス名 | VBS_LOVELETTER | 別名 | LOVELETTER |
使用言語 | 英語 | ウイルスタイプ | VBスクリプト、ワーム |
使用プラットフォーム | Windows | ウイルスサイズ | 10,307 bytes |
発見日 | 2000/5/4 | ||
破壊活動 | メールを自動送信する、ファイルを破壊する | ||
対応エンジン | VSApI5.120以上。 | ||
対応パターン | 693以上 | ||
詳細 1)ワームプログラム(“LOVE-LETTER-FOR-YOU.TXT.vbs”)をユーザが実行すると、まず、以下のファイルを作成します。
 2) 次のレジストリエントリを改変し、コンピューターの起動時に必ずワームが実行されるように設定します。
3) \\システムドライブ\ windows \system\ ディレクトリ内のWinFAT32.exe というファイルを検索します。このファイルを見つけるとレジストリを改変し、Internet Explorer のスタートアップページを以下のURLのうちどれかに置き換えます。 http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrd 4) \\システムドライブ\ windows \system\ ディレクトリ内のWIN-BUGSFIX.exe というファイルを検索します。このファイルが見つからない場合、Internet Explorer のスタートアップページを“about:blank”(空白ページ)に置き換え、さらに以下のようにレジストリを改変してしまいます。
破壊活動 1.このワームは、Microsoft Outlook に登録されたアドレス帳に登録されたメールアドレスのすべてに対して、“LOVE-LETTER-FOR-YOU.TXT.vbs” というワームプログラム自身を添付したメールを送信します。 件名: ILOVEYOU.  ▲クリックして拡大 2.もっとも有名なIRC(インターネットリレイチャット)クライアントプログラムのmIRCがマシンにインストールされていた場合、mIRCのScript.INIを書き換えます。この改変されたmIRCを使用すると、同じチャットルームに参加しているユーザすべてに対し、“LOVE-LETTER-FOR-YOU.HTM”とうファイル名のワームプログラム自身を自動的に送信してしまいます。 3.下の拡張子を持つファイルを検索し、見つけるとこのファイルをワームのウイルスコードを保存したもので置き換えます。さらにファイル名を「オリジナルファイル名+オリジナル拡張子」+ .VBS という名前に変更します。このように“感染”されたファイルはすべて破壊され、オリジナルファイルを復元することはできません。 .vbs、.vbe、.js、.jse、.css、.wsh、.sct、.hta、.jpg、.jpeg、.mp3、.mp2
2) 以下のファイルを削除します。
3)インターネットエクスプローラのスタートアップ・ページのURLを元の設定に戻します。インターネットエクスプローラの「ツール」→「インターネットオプション」を表示します。「全般」タブ→「ホームページ」の「アドレス」欄を自分の設定に書き換え、「OK」をクリックします。 4)mIRCを使用している場合は、Script.INIファイルを削除し、オリジナルのScript.INIで復元します。 このワームはVBスクリプト型のため駆除することはできません。以下の手順に従ってマシンから削除してください。 | |||
以上
※trENDMICROは、トレンドマイクロ株式会社の登録商標です。
※各社の社名及び製品名は、各社の商標又は登録商標です。
