Click


連休明けのメールはラブレターワームに注意

5月7日 公開



 通産省の外郭団体である「情報処理振興事業協会(IPA)」は、いわゆる「ラブレターワーム」の被害を防ぐための緊急アナウンスを公開し注意を呼びかけている。ラブレターワームはVB Scriptで記述されたワームで、Windows 95/98/NT/2000上で動作する。このワームは「I LOVE YOU」などのサブジェクト(表題)のメールで届けられる。添付された“LOVE-LETTER-FOR-YOU.TXT.vbs”ファイルをダブルクリックするなどして実行すると、次のような被害をもたらす。

1)ローカルディスクのJPEGファイルやMP3ファイルなどのデータを破壊し、自分自身に置き換える。
2)Outlookのアドレス帳に記載された相手に、自分自身を添付したメールを送り増殖する。
3)mIRC(IRC:インターネット・リレー・チャットクライアント)を利用し、同じチャットルームの参加者に自分自身を送り増殖する。

 また、下記のファイルが存在すれば、すでに感染していると判断できる。

1)c:\WindowsフォルダにWin32dll.vbs
2)c:\Windows\systemフォルダにMSKernel32.vbs
3)c:\Windows\systemフォルダにLove-letter-for-you.txt.vbs

 感染が確認された場合にはこれらのファイルを削除するとともに、書き換えられたレジストリなどの修復が必要となる。なお、レジストリの書き換えを誤るとWindowsが起動しなくなる可能性もあり、作業は慎重に行なわれたい。下記の記述の意味が分からない場合は行なわない方がよい。すでにシマンテックが駆除ツールの無償公開を行なっているので、そちらの利用をお勧めする。

1)regeditを起動して、以下のレジストリの値を削除する。

 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run の 
  値: c\windows\system \MSKernel32.vbs

 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesの
  値: c\windows\\Win32DLL.vbs.

2)IEのスタートアップ・ページのURLを元の設定に戻す。

3)mIRCを使用している場合は、Script.INIファイルを削除し、オリジナルのScript.INIで復元する。

 また、すでに変種も多数発生しているため、送信者が不明な内容のメールに添付されてきたファイルには十分注意が必要である。これらの変種はメールのサブジェクトや添付ファイル名は異なるが拡張子は「.vbs」のままなので、この拡張子およびvbsのアイコンで表示されている添付ファイルは開かず、メールごと削除することをお勧めする。

□IPAのホームページ
http://www.ipa.go.jp/
□IPAの緊急アナウンス
http://www.ipa.go.jp/SECURITY/topics/loveletter.html
□シマンテックのウイルス情報と無償駆除ツールダウンロードページ
http://www.symantec.com/region/jp/sarcj/data/v/vbslovelettera.html
http://www.symantec.com/region/jp/sarcj/fixlove.html
□トレンドマイクロの対策情報
http://www.trendmicro.co.jp/virusinfo/loveletter.htm
http://www.trendmicro.co.jp/virusinfo/loveletter2.htm
□日本ネットワークアソシエイツの対策情報
http://www.nai.com/japan/virusinfo/loveletter.asp

(2000年5月8日)

[Reported by date@impress.co.jp / Watchers]


【PC Watchホームページ】


ウォッチ編集部内PC Watch担当 pc-watch-info@impress.co.jp