このページの本文へ

世界各地で“ラブレターワーム”の被害が急増、ウイルス対策ソフトメーカーが対応ワクチンを提供開始

2000年05月08日 00時00分更新

文● 編集部 桑本美鈴

  • この記事をはてなブックマークに追加
  • 本文印刷

“I LOVE YOU”などのタイトル(Subject)を持つ『VBS/LOVELETTER』、いわゆる“ラブレターワーム”が世界的に猛威を振るっている。ラブレターワームに注意をする必要があるのは、Windows 95/98/NT/2000ユーザーで、電子メールソフトに『Microsoft Outlook』を利用している場合や、インターネットリレーチャット『mIRC』利用ユーザーは特に注意が必要だ。

このワーム(広義のウイルスに属する)は、VBS(Visual Basic Script)で記述されており、メールに添付されたVBSファイル“LOVE-LETTER-FOR-YOU.TXT.vbs”をダブルクリックするなどして実行することで感染、発病する。5月4日にフィリピン/マニラで発見され、非常に速いスピードで世界各地に被害を広げているという。また、VBS/LOVELETTERの変種/亜種も続々と発見されている。

ラブレターワームの感染/発病概要

ラブレターワームのVBSファイルを実行すると、表面的にはなにも変化がないように見えるが、マシン内にワーム自身のコピーを作成し、システムやInternet Explorerの設定などを変更する。続いて、そのマシンのローカルHDDや共有ドライブ内にあるvbs/vbe/js//jse/css/wsh/sct/hta/jpg/jpeg/mp3/mp2といった特定の拡張子を持つファイルを探し出し、それに感染して破壊する。感染したファイルは、ファイル名はそのままで、拡張子が“vbs”に変わる(例:xxxx.jpg→xxxx.jpg.vbs)ため、感染ファイルを実行すると、ワームの活動が再度行なわれる。

電子メールソフト『Microsoft Outlook』を利用している場合は、Outlookのアドレス帳に登録されているメールアドレスに対し、ワーム自身を添付したメールを送信し、自己増殖する。

また、インターネットリレーチャット用のプログラム『mIRC』を利用してチャットを行なっている場合、このmIRCを通じてチャットルームの参加者全員にワーム自身を送り付け、自己増殖する。

対策方法

添付ファイルが送られてても、VBSファイルを実行せずに削除すれば被害には遭わない(メールごと削除するのが適切)。なお、下記のファイルがマシン内に存在していれば、ワームに感染している。

・c:\WindowsフォルダにWin32dll.vbsファイルが存在する
・c:\Windows\systemフォルダにMSKernel32.vbsファイルが存在する
・c:\Windows\systemフォルダにLove-letter-for-you.txt.vbs ファイルが存在する

感染している場合は、これらのVBSファイルを削除し、レジストリーなどを修正しなければならない。レジストリーを修正する場合は、少しでも間違えると、コンピューターが正常に起動しなくなる場合があるため、慎重に行なう必要がある。修正方法は以下の通り。

1:以下のファイルを削除する
・c\windows\Win32DLL.vbs
・c\windows\system\MSKernel32.vbs
・c\windows\\system\LOVE-LETTER-FOR-YOU.TXT.vbs

2:regeditを起動して、以下のレジストリーの値を削除する

・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run の
 値:c\windows\system \MSKernel32.vbs

・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesの
 値:c\windows\\Win32DLL.vbs.

3:Internet Explorerのスタートアップ・ページのURLを元の設定に戻す

4:mIRCを使用している場合は、Script.INIファイルを削除し、オリジナルのScript.INIで復元する。

ウイルス対策ソフトメーカー各社の対応

各ウイルス対策ソフトメーカーは、それぞれラブレターワーム用のワクチンの提供を開始している。

(株)シマンテックは、米シマンテック社がVBS/LOVELETTERおよびその変種を検知/駆除するウイルス定義ファイル(ワクチン)の提供を5月4日(現地時間)に開始したと発表した。同社のウイルス対策ソフト『Norton AntiVirus』ユーザーは、オンライン更新機能“LiveUpdate”を利用してワクチンを入手できる。また、ウイルス対策を行なっていないユーザー向けに、VBS/LOVELETTERとその変種を駆除する無償駆除ツール『fixlove.exe』や、Norton AntiVirusの30日間限定体験版をホームページ上で無償提供している。

トレンドマイクロ(株)は、VBS/LOVELETTERに対し、同社ウイルス対策ソフト『ウイルスバスター』用のパターンファイル693以降で5月5日から対応、変種/亜種に対してはパターンファイル697以降で5月6日から対応を行なっている。パターンファイルは同社ホームページから入手可能。このパターンファイルでワームを検知した後、上記の方法で手動削除を行なう必要がある。ウイルス対策を行なっていないユーザーに対しては、『ウイルスバスター2000』の30日間限定体験版をホームページ上で無償提供しているほか、ホームページ上のサービス“ウイルスバスター オンラインスキャン”を利用して、マシンのウイルスチェックを実行/検知できる。

日本ネットワークアソシエイツ(株)は、同社のウイルス対策ソフト『VirusScan』のエンジンバージョン4.0.35以上を対象としたウイルスデータファイル“EXTRA.DAT”で5月5日から対応している。EXTRA.DATは同社ホームページからダウンロード可能。バージョン4.0.35より低いエンジンバージョンで利用しているユーザーは、SuperDAT(日本語版)を使用してエンジンのバージョンアップを行なう必要がある。

(株)シー・エス・イーは、同社のウイルス対策ソフト『Sophos Anti-Virus』用の緊急対応ワクチン“IDEファイル”を5月5日から提供している。ワクチンは同社ホームページから入手可能。また、ウイルス対策を行なっていないユーザーに対しては、Sophos Anti-Virusの評価版をホームページ上で無償提供している。

カテゴリートップへ

注目ニュース

ASCII倶楽部

プレミアムPC試用レポート

ピックアップ

ASCII.jp RSS2.0 配信中

ASCII.jpメール デジタルMac/iPodマガジン