ラブレターウイルス、亜種さらに発生続き、計21種(トレンドマイクロ) | ScanNetSecurity
2024.03.28(木)

ラブレターウイルス、亜種さらに発生続き、計21種(トレンドマイクロ)

 トレンドマイクロ株式会社は、Microsoft Outlookを利用して感染を広げるワーム「VBS_LOVELETTER」に関する亜種が引き続き発生しており、合計21種となったことを発表した。現在、トレンドマイクロ社ではすべての亜種にパターンファイル697以降で対応している。

製品・サービス・業界動向 業界動向
 トレンドマイクロ株式会社は、Microsoft Outlookを利用して感染を広げるワーム「VBS_LOVELETTER」に関する亜種が引き続き発生しており、合計21種となったことを発表した。現在、トレンドマイクロ社ではすべての亜種にパターンファイル697以降で対応している。

───────────────────────────────────
         「VBS_LOVELETTER」亜種最新状況
───────────────────────────────────
 現在のところ、以下の21種の亜種が確認されている。傾向としてウイルス対策のメッセージやパッチを装って送りつけるものが増えているのが特徴である。今後も同様の亜種・変種発生の怖れがあるため、最新ウイルス情報の確認、またワクチンソフトのパターンファイルの更新など、引き続きウイルス対策が必要だ。
 また、同社では「VBS_LOVELETTER」をUNIX上で動作させるべく移植を図ったものと見られる変種ウイルスコードも確認している(亜種P "UNIX"版)。この変種は正常に動作しないため現状で脅威はないが、今後このような移植を図る悪意の第三者の登場も予測されるため、こちらも注意が必要だ。

1)亜種B("Susitikim"版)
件名:"Susitikim shi vakara kavos puodukui..."
ウイルスコード:ウイルスコードの先頭にコメント文を1行追加

2)亜種C("Very Funny"版)
件名:"fwd: Joke"
メール本文:無し
E-Mail添付ファイル名:"Very Funny.vbs"
mIRC添付ファイル名:"Very Funny.HTM"

3)亜種D:ウイルスコードのみ相違

4)亜種E("Mothersday"版)
件名:"Mothers Day Order Confirmation"
メール本文:" We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place. Thanks Again and Have a Happy Mothers Day!
mothersday@subdimension.com "
E-Mail添付ファイル名:"mothersday.vbs"
mIRC添付ファイル名:"mothersday.HTM"
感染対象ファイル
・拡張子:"ini"、"bat"のファイルにも感染する。代わりに拡張子"jpg"、"jpeg"のファイルには感染しない。
・ウイルスコード: ウイルスコード内の先頭2行のコメント文を変更
・InternetExplorerのスタートアップページを米国のハッカーサイトのURLに書き換える。

5)亜種F("Brainstorm"版)
件名:"Important ! Read carefully !!"
メール本文:"Check the attached IMPORTANT coming from me !"
E-Mail添付ファイル名:"IMPORTANT.TXT.vbs"
mIRC添付ファイル名:"Important.HTM"
作成ファイル名:ワームが作成するファイル名が以下のように変更される
Win32DLL.vbs →ES32DLL.vbs
MSKernel32.vbs →ESKernel32.vbs

6)亜種G("Symantec Protect"版)
件名:"Virus ALERT!!!"
メール本文:
(本文は長文となるため詳細はトレンドマイクロ社Webをご覧ください)
E-Mail添付ファイル名:"protect.vbs"
mIRC添付ファイル名: "protect.htm"
InternetExplorerのホームページ :変更しない
感染対象:.com、.batの拡張子を持つファイルを追加
ウイルスコード:ウイルスコード先頭のコメント文を変更。

7)亜種H("Virus Warning"版)
件名:"Dangerous Virus Warning"
メール本文:"There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it."
E-Mail添付ファイル名:"virus_warning.jpg.vbs"
mIRC添付ファイル名:"urgent_virus_warning.htm"
InternetExplorerのホームページ :"setup24.exe"がダウンロードされるURLに変更。
感染対象:.wav、.txt、.gif、.doc、.htm、.html、.xlsの拡張子のファイルを追加
ウイルスコード:ウイルスコード先頭2行のコメント文を削除

8)亜種I("Protect"版) :ウイルスコードの相違

9)亜種J("Packet Storm"版)
件名:"Thank You For Flying With Arab Airlines"
メール本文:"Please check if the bill is correct, by opening the attached file."
E-Mail添付ファイル名:"ArabAir.TXT.vbs"
mIRC添付ファイル名:"no-hate-FOR-YOU.HTM"
感染対象:.sys、.dll、.exeの拡張子のファイルを追加 .mp2、.mp3、.jpeg、.jpgの拡張子のファイルを削除(感染しない)
ウイルスコード:ウイルスコード先頭のコメント文を変更。

10)亜種K("Virus Protection Instructions"版)
件名:"How to protect yourself from the IL0VEY0U bug!"
メール本文:"Here’s the easy way to fix the love virus."
E-Mail添付ファイル名:"Virus-Protection-Instructions.vbs"
mIRC添付ファイル名:"Virus-Protection-Page.HTM"
ウイルスコード:ウイルスコード先頭のコメント文を変更。

11)亜種L:ウイルスコードのみ相違

12)亜種M:ウイルスコードのみ相違

13)亜種N("Software Testing"版)
件名:"Variant Test"
メール本文:"This is a variant to the vbs virus."
E-Mail添付ファイル名:"IMPORTANT.TXT.vbs"
mIRC添付ファイル名: "IMPORTANT.HTM"
InternetExplorerのホームページ:"setup24.exe"がダウンロードされるURLに
変更。
感染対象:.qt、.qtm、.mpeg、.mpg、.aviの拡張子のファイルを追加
.jpg、.jpeg、.mp3、.mp2の拡張子のファイルを削除(感染しない)
ウイルスコード:ウイルスコード先頭2行のコメント文を削除
作成ファイル名:ワームが作成するファイル名が以下のように変更
Win32DLL.vbs → IEAKDLL.vbs
MSKernel32.vbs→ sndvol32.vbs
 これに伴い、自動起動を設定するレジストリ変更もこのファイル名を使用。

14)亜種O:ウイルスコードのみ相違

15)亜種P("UNIX"版)
 オリジナルのウイルスコードをUNIX上で動作させるように移植を試みたものと思われる。移植は失敗しており、実際には動作しない。

16)亜種Q("LOOK"版)
件名:"LOOK!"
メール本文:"hehe...check this out."
E-Mail添付ファイル名:"LOOK.vbs"
mIRC添付ファイル名:"LOOK.HTM"
感染対象:.xls、.mdb、.lnk、.exeのファイルを追加。.jpg、.jpeg、
.mp3、.mp2のファイルを削除(感染しない)
ウイルスコード:ウイルスコード先頭のコメント文を削除。
作成ファイル名:ワームが作成するファイル名が以下のように変更。
Win32DLL.vbs →User32DLL.vbs
MSKernel32.vbs→ MSUser32.vbs

17)亜種R("-"追加版)
レジストリエントリ:レジストリエントリに登録される文字列が以下のように変更されている。
"WIN-BUGSFIX.exe" → WIN─BUGSFIX.exe

18)亜種S:ウイルスコードのみ相違

19)亜種T("mePhIsToN"版)
件名:"KillEmAll.TXT.vbs"
メール本文:"I Cant Believe I Have Just Recieved This Hate Email ..
Take A Look!"
E-Mail添付ファイル名:"ArabAir.TXT.vbs"
mIRC添付ファイル名:"killer.HTM" 但し、mIRCの設定変更のコードが失われているため、実際にmIRCを介してこのファイルを送信することはない。
感染対象:.gif、.bmp、.wav、.midのファイルを追加。.mp2、.mp3、.jpeg、.jpgのファイルを削除(感染しない)。
ウイルスコード:ウイルスコード先頭のコメント文を変更。
作成ファイル名:ワームが作成するファイル名が以下のように変更。
Win32DLL.vbs →Killer2.vbs
MSKernel32.vbs→Killer1.vbs

20)亜種U("BEWERBUNG"版)
件名:"Bewerbung Kreolina"
メール本文:"Sehr geehrte Damen und Herren!"
E-Mail添付ファイル名:""BEWERBUNG.TXT.vbs"
mIRC添付ファイル名:"BEWERBUNG.HTM"
ウイルスコード:ウイルスコード先頭のコメント文を削除。

21)亜種V("BAND-AID"版)
件名:"Recent Virus Attacks-Fix"
メール本文:"Attached is a copy of a script that will reverse the effects of the LOVE-LETTER-TO-YOU.TXT.vbs as well as the FW  JOKE, Mother's Day and Lithuanian Siblings."
E-Mail添付ファイル名:"BAND-AID.DOC.vbs"
mIRC添付ファイル名:作成しない。
InternetExplorerのホームページ:米国のハッカーサイトのURLに設定。このURLのWebは現在でも機能しているため、ここに具体的なURLは記載しない。
感染対象:.bat, .gif, .tif, .tiff, .wav, .mp2, .mp3, .lnk, .bak, .doc,.xls, .rtf, .txt,.htm, .html, .xml, .mny, .zip, .bmp, .cab, .inf
ウイルスコード:ウイルスコード先頭2行のコメント文を変更。


注意:以上の亜種に対して「手動削除手順」を行う場合、情報に応じてファイル名を読み替えて実行する必要がある。亜種D、I、L、M、0、Sはコードのみの相違であり、活動はオリジナルと同じであるため記載を省く。なお、トレンドマイクロ社製品では全ての亜種が「VBS_LOVELETTER-O」のウイルス名で検出される。

http://www.trendmicro.co.jp/virusinfo/loveletter4.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×