ラブレターウイルス、亜種さらに発生続き、計21種(トレンドマイクロ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.22(日)

ラブレターウイルス、亜種さらに発生続き、計21種(トレンドマイクロ)

製品・サービス・業界動向 業界動向

 トレンドマイクロ株式会社は、Microsoft Outlookを利用して感染を広げるワーム「VBS_LOVELETTER」に関する亜種が引き続き発生しており、合計21種となったことを発表した。現在、トレンドマイクロ社ではすべての亜種にパターンファイル697以降で対応している。

───────────────────────────────────
         「VBS_LOVELETTER」亜種最新状況
───────────────────────────────────
 現在のところ、以下の21種の亜種が確認されている。傾向としてウイルス対策のメッセージやパッチを装って送りつけるものが増えているのが特徴である。今後も同様の亜種・変種発生の怖れがあるため、最新ウイルス情報の確認、またワクチンソフトのパターンファイルの更新など、引き続きウイルス対策が必要だ。
 また、同社では「VBS_LOVELETTER」をUNIX上で動作させるべく移植を図ったものと見られる変種ウイルスコードも確認している(亜種P "UNIX"版)。この変種は正常に動作しないため現状で脅威はないが、今後このような移植を図る悪意の第三者の登場も予測されるため、こちらも注意が必要だ。

1)亜種B("Susitikim"版)
件名:"Susitikim shi vakara kavos puodukui..."
ウイルスコード:ウイルスコードの先頭にコメント文を1行追加

2)亜種C("Very Funny"版)
件名:"fwd: Joke"
メール本文:無し
E-Mail添付ファイル名:"Very Funny.vbs"
mIRC添付ファイル名:"Very Funny.HTM"

3)亜種D:ウイルスコードのみ相違

4)亜種E("Mothersday"版)
件名:"Mothers Day Order Confirmation"
メール本文:" We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place. Thanks Again and Have a Happy Mothers Day!
mothersday@subdimension.com "
E-Mail添付ファイル名:"mothersday.vbs"
mIRC添付ファイル名:"mothersday.HTM"
感染対象ファイル
・拡張子:"ini"、"bat"のファイルにも感染する。代わりに拡張子"jpg"、"jpeg"のファイルには感染しない。
・ウイルスコード: ウイルスコード内の先頭2行のコメント文を変更
・InternetExplorerのスタートアップページを米国のハッカーサイトのURLに書き換える。

5)亜種F("Brainstorm"版)
件名:"Important ! Read carefully !!"
メール本文:"Check the attached IMPORTANT coming from me !"
E-Mail添付ファイル名:"IMPORTANT.TXT.vbs"
mIRC添付ファイル名:"Important.HTM"
作成ファイル名:ワームが作成するファイル名が以下のように変更される
Win32DLL.vbs →ES32DLL.vbs
MSKernel32.vbs →ESKernel32.vbs

6)亜種G("Symantec Protect"版)
件名:"Virus ALERT!!!"
メール本文:
(本文は長文となるため詳細はトレンドマイクロ社Webをご覧ください)
E-Mail添付ファイル名:"protect.vbs"
mIRC添付ファイル名: "protect.htm"
InternetExplorerのホームページ :変更しない
感染対象:.com、.batの拡張子を持つファイルを追加
ウイルスコード:ウイルスコード先頭のコメント文を変更。

7)亜種H("Virus Warning"版)
件名:"Dangerous Virus Warning"
メール本文:"There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it."
E-Mail添付ファイル名:"virus_warning.jpg.vbs"
mIRC添付ファイル名:"urgent_virus_warning.htm"
InternetExplorerのホームページ :"setup24.exe"がダウンロードされるURLに変更。
感染対象:.wav、.txt、.gif、.doc、.htm、.html、.xlsの拡張子のファイルを追加
ウイルスコード:ウイルスコード先頭2行のコメント文を削除

8)亜種I("Protect"版) :ウイルスコードの相違

9)亜種J("Packet Storm"版)
件名:"Thank You For Flying With Arab Airlines"
メール本文:"Please check if the bill is correct, by opening the attached file."
E-Mail添付ファイル名:"ArabAir.TXT.vbs"
mIRC添付ファイル名:"no-hate-FOR-YOU.HTM"
感染対象:.sys、.dll、.exeの拡張子のファイルを追加 .mp2、.mp3、.jpeg、.jpgの拡張子のファイルを削除(感染しない)
ウイルスコード:ウイルスコード先頭のコメント文を変更。

10)亜種K("Virus Protection Instructions"版)
件名:"How to protect yourself from the IL0VEY0U bug!"
メール本文:"Here’s the easy way to fix the love virus."
E-Mail添付ファイル名:"Virus-Protection-Instructions.vbs"
mIRC添付ファイル名:"Virus-Protection-Page.HTM"
ウイルスコード:ウイルスコード先頭のコメント文を変更。

11)亜種L:ウイルスコードのみ相違

12)亜種M:ウイルスコードのみ相違

13)亜種N("Software Testing"版)
件名:"Variant Test"
メール本文:"This is a variant to the vbs virus."
E-Mail添付ファイル名:"IMPORTANT.TXT.vbs"
mIRC添付ファイル名: "IMPORTANT.HTM"
InternetExplorerのホームページ:"setup24.exe"がダウンロードされるURLに
変更。
感染対象:.qt、.qtm、.mpeg、.mpg、.aviの拡張子のファイルを追加
.jpg、.jpeg、.mp3、.mp2の拡張子のファイルを削除(感染しない)
ウイルスコード:ウイルスコード先頭2行のコメント文を削除
作成ファイル名:ワームが作成するファイル名が以下のように変更
Win32DLL.vbs → IEAKDLL.vbs
MSKernel32.vbs→ sndvol32.vbs
 これに伴い、自動起動を設定するレジストリ変更もこのファイル名を使用。

14)亜種O:ウイルスコードのみ相違

15)亜種P("UNIX"版)
 オリジナルのウイルスコードをUNIX上で動作させるように移植を試みたものと思われる。移植は失敗しており、実際には動作しない。

16)亜種Q("LOOK"版)
件名:"LOOK!"
メール本文:"hehe...check this out."
E-Mail添付ファイル名:"LOOK.vbs"
mIRC添付ファイル名:"LOOK.HTM"
感染対象:.xls、.mdb、.lnk、.exeのファイルを追加。.jpg、.jpeg、
.mp3、.mp2のファイルを削除(感染しない)
ウイルスコード:ウイルスコード先頭のコメント文を削除。
作成ファイル名:ワームが作成するファイル名が以下のように変更。
Win32DLL.vbs →User32DLL.vbs
MSKernel32.vbs→ MSUser32.vbs

17)亜種R("-"追加版)
レジストリエントリ:レジストリエントリに登録される文字列が以下のように変更されている。
"WIN-BUGSFIX.exe" → WIN─BUGSFIX.exe

18)亜種S:ウイルスコードのみ相違

19)亜種T("mePhIsToN"版)
件名:"KillEmAll.TXT.vbs"
メール本文:"I Cant Believe I Have Just Recieved This Hate Email ..
Take A Look!"
E-Mail添付ファイル名:"ArabAir.TXT.vbs"
mIRC添付ファイル名:"killer.HTM" 但し、mIRCの設定変更のコードが失われているため、実際にmIRCを介してこのファイルを送信することはない。
感染対象:.gif、.bmp、.wav、.midのファイルを追加。.mp2、.mp3、.jpeg、.jpgのファイルを削除(感染しない)。
ウイルスコード:ウイルスコード先頭のコメント文を変更。
作成ファイル名:ワームが作成するファイル名が以下のように変更。
Win32DLL.vbs →Killer2.vbs
MSKernel32.vbs→Killer1.vbs

20)亜種U("BEWERBUNG"版)
件名:"Bewerbung Kreolina"
メール本文:"Sehr geehrte Damen und Herren!"
E-Mail添付ファイル名:""BEWERBUNG.TXT.vbs"
mIRC添付ファイル名:"BEWERBUNG.HTM"
ウイルスコード:ウイルスコード先頭のコメント文を削除。

21)亜種V("BAND-AID"版)
件名:"Recent Virus Attacks-Fix"
メール本文:"Attached is a copy of a script that will reverse the effects of the LOVE-LETTER-TO-YOU.TXT.vbs as well as the FW  JOKE, Mother's Day and Lithuanian Siblings."
E-Mail添付ファイル名:"BAND-AID.DOC.vbs"
mIRC添付ファイル名:作成しない。
InternetExplorerのホームページ:米国のハッカーサイトのURLに設定。このURLのWebは現在でも機能しているため、ここに具体的なURLは記載しない。
感染対象:.bat, .gif, .tif, .tiff, .wav, .mp2, .mp3, .lnk, .bak, .doc,.xls, .rtf, .txt,.htm, .html, .xml, .mny, .zip, .bmp, .cab, .inf
ウイルスコード:ウイルスコード先頭2行のコメント文を変更。


注意:以上の亜種に対して「手動削除手順」を行う場合、情報に応じてファイル名を読み替えて実行する必要がある。亜種D、I、L、M、0、Sはコードのみの相違であり、活動はオリジナルと同じであるため記載を省く。なお、トレンドマイクロ社製品では全ての亜種が「VBS_LOVELETTER-O」のウイルス名で検出される。

http://www.trendmicro.co.jp/virusinfo/loveletter4.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

    Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

  3. 自分の利用しているサーバの状況を確認する方法 不正中継確認

    自分の利用しているサーバの状況を確認する方法 不正中継確認

  4. 新アルゴリズムを開発、古い制御システムでもサイバー攻撃対策が可能に(日立)

  5. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  6. Apache Strutsの脆弱性リスクの有無を判断できるツールを無料配布(Black Duck Software)

  7. ルートゾーンKSKロールオーバーの「新KSKでの署名開始」を延期(JPRS)

  8. IoTとAIを組み込んだスマートマンション、そのサイバーセキュリティを探る(インヴァランス)

  9. ここが危ないインターネット クレジットカードの落とし穴

  10. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×