Loveletterウイルスについて

　このファイルはLoveletterウイルスについてまとめたものです。色々なニュースを
見て書きましたが、内容については責任を持てませんのであらかじめ御了承下さい。


　「VBS/LoveLetter（またはVBS.LoveLetter.A、Troj/LoveLet-A）」ウイルスの続報
です。Loveletterウイルスは、正確にはワームと呼ばれるもので、ラブレターを装っ
た件名（Subject）の電子メールに添付されてくるvbsファイルを実行すると感染しま
す。Loveletterウイルスはアドレス帳に登録されたアドレスに自分自身を送りつける
ほか、アクセス可能なハードディスクにある何種類かのファイルを自分自身で上書き
し、その拡張子を".vbs"に変更します。


◇Loveletterウイルスの感染経路

　Loveletterウイルスは電子メールを介して感染します。Loveletterウイルスは「I 
LOVE YOU」とう件名で、内容が「kindly check the attached LOVELETTER coming 
from me.」というメールの添付ファイルとして送られてきます。添付ファイルの名前
は「LOVE-LETTER-FOR-YOU.TXT.vbs」です。この添付ファイルを実行すると感染しま
す。

　LoveletterウイルスはWSH（Windows Scripting Host）によって実行されるため、
WSHを持たないMacOSやLinux、WSHを切ったWindowsには感染しません。


◇Loveletterウイルスに感染すると

　Loveletterウイルスは拡張子がvbs、vbe、js、jse、css、wsh、sct、hta、jpg、
jpegの各ファイルを自分自身で上書きするとともに、ファイル名を*.vbsにリネームし
ます。拡張子がmp3、mp2のファイルについては、オリジナルファイルを隠しファイル
にした上で、ファイル名が同じで拡張子が.vbsのファイルを作成します。

　Loveletterウイルスは初回起動時に、Outlookのアドレス帳に登録されたすべてのア
ドレスに自分自身を添付した電子メールを送信します。

　LoveletterウイルスはIEのホームページの設定を変更します。

　Loveletterウイルスは、IRC（Internet Relay Chat）を経由して同じチャットルー
ムのユーザに自分自身を送りつける機能を持っています。IRCクライアントの「mIRC」
を使用している場合に送信するようです。

　Loveletterウイルスにはこの他に、WIN-BUGSFIX.exeというファイルをウェブサイト
からダウンロード・実行し、パスワードを盗む機能もあるそうです。しかし、該当す
るウェブサイトは既に閉鎖されています。


◇Loveletterウイルスの感染防止策

　Loveletterウイルスに限らず、ウイルスの感染防止には電子メールの添付ファイル
を安易に開かない事が重要です。Loveletterウイルスには既にいくつかの変種が確認
されています。これらのウイルスは件名や内容を変えてあるので、件名や添付ファイ
ルの名前に惑わされないで下さい。

　LoveletterウイルスはWSH（Windows Scripting Host）によって実行されます。だか
らWSHを切れば感染を防止できます。

  ・WSHの切り方
    1.「コントロールパネル」をオープン
    2.「アプリケーションの追加と削除」の「Windowsファイル」の「アクセサリ」
    　の「Windowsスクリプティングホスト」を調べる
    3.もしチェックが入っていたらこれを外して変更を保存

　この他にアンチウイルスソフトによる予防も効果的です。ただし、パターンファイ
ルの更新を忘れないで下さい。また、一部のアンチウイルスソフトはデフォルト設定
で.vbsを調べない設定になっているそうです。注意して下さい。


◇Loveletterウイルスに感染したら

　もし感染した場合はWindowsのファイル検索機能を使って拡張子が.vbs、ファイルサ
イズが10〜11KBのファイルを全て削除するしかありません。感染したファイルを削除
したあと、レジストリから
「HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX」を削除し、
IEのホームページの設定を元に戻して下さい。


◇Loveletterウイルスの変種

　Loveletterウイルスには既に何種類かの変種が存在しています。最も悪質なのが
「Mothers Day」で、このウイルスは拡張子がbat、iniのファイルを上書きするために
システムが起動できなくなる恐れがあるそうです。

　この他にも類似ウイルスが確認されています。Loveletterウイルスの本体はvbsファ
イルであり、これはテキスト形式のため、（残念ながら）変種の作成は容易です。


◇Loveletterウイルスによる被害

　VBS/LoveLetterはすでに日本への上陸が確認されています。5/6正午の時点で約
27000件の感染が確認されています。各国の政府機関のコンピュータへの感染も確認さ
れています。また、世界中で4500万台のコンピュータがその影響を受けたとの推計
（推計の根拠は不明）もあるそうです。日本ではGW後の混乱が警戒されています。


◇その他

　Loveletterウイルスの拡散に関与した人物をフィリピンの警察が特定したそうで
す。この人物はプリペイド式のプロバイダを利用して4/28にファイルをアップしたそ
うです。アップされたファイルはしばらく休眠状態でしたが、5/4に活動を開始したよ
うです。なお、ウイルスの拡散に関与したと見られる人物の居所までは分かっていな
いようです。


関連サイトのURL
　http://www.trendmicro.co.jp/virusinfo/loveletter.htm
　http://www.symantec.com/region/jp/sarcj/data/v/vbslovelettera.html
　http://www.cseltd.co.jp/security/
　http://www.cert.org/advisories/CA-2000-04.html

ZDNNのLoveletterウイルス関連記事
　http://www.zdnet.co.jp/news/0005/05/loveletter.html
　http://www.zdnet.co.jp/macwire/0005/05/n_iloveyou.html
　http://www.zdnet.co.jp/news/0005/05/loveletter2.html
　http://www.zdnet.co.jp/news/0005/06/lovevariants.html
　http://www.zdnet.co.jp/news/0005/06/love1.html


　このファイルの複製・再配付・転載・引用は自由ですが、内容については一切責任
を持ちません。変更は各自の責任でどうぞ

　written by Think
　http://www.geocities.co.jp/SiliconValley/8126/index.html