clear clear
Symantec.com logo Security Response
japan
グローバルサイト
製品とサービス
製品の購入
サポート
セキュリティ・レスポンス
ダウンロード
シマンテックについて
サーチ
フィードバック
grey


© 1995-2006 Symantec Corporation.
All rights reserved.
商標について
プライバシーポリシー
VBS.LoveLetter駆除ツール

VBS.NewLove.Aに感染している場合、このツールの効果は限定されます。この変種ウィルスは、使用中のファイルを除き、システム上にある全てのファイルを破壊するため、このウィルスに感染したシステムは極めて不安定になります。

シマンテックは、VBS.LoveLetterワームの亜種・変種として確認されているあらゆるワームにより行われたコンピュータシステムへの変更を除去するツールを開発しました。ご使用の際には、以下の指示に従ってください。

警告:後述のツールを実行する際には必ず、あらかじめ、最新のウィルス定義ファイルを(LiveUpdateまたはWebサイトからダウンロードして)インストールし、Norton AntiVirus?を実行してコンピュータ全体をスキャンしておいてください。Norton AntiVirus™でシステムをスキャンせずに駆除ツールを実行した場合、ファイルがLoveLetterに感染している旨のウィルス警告ダイアログが表示される可能性があります。このようなダイアログが表示された場合、検出されたファイルを全て削除してください。駆除ツールを使用する前に、Norton AntiVirus™の感染警告ダイアログで検出されたファイルを削除しても、、駆除ツールの動作の妨げにはなりません。しかし、Symantec Security Responseでは、最初にウィルス定義を更新し、Norton AntiVirus™でシステムをスキャンした後で修復ツールを実行することを推奨します。

Windows NT/2000上でこのツールを実行するためには、管理者権限でログオンする必要があります。


下記のファイルをデスクトップにダウンロードしてください。
必ずデスクトップに保存してください!

ファイル名:fixlove.exe

自動実行させるためには、[スタート]-[ファイル名を指定して実行...]をクリックしてください。[ファイル名を指定して実行]ダイアログで、次の文字列を入力してください。

C: \ Windows \ デスクトップ \ fixlove.exe

その後、Enterキーを押してください。

ここではWindowsのデスクトップディレクトリを使用していますが、これは、初心者のユーザでも、このツールが保存されている場所を確実に把握できるように配慮した提案に過ぎません。なお、Windowsのデスクトップディレクトリは、必ずしもc:\windows\デスクトップにあるとは限りません。好みにより、他の有効なパスを指定してもかまいません。

注意:このツールが起動されると、ユーザに修復を開始するよう促すダイアログが表示されます。作業が完了すると、コンピュータが感染していたかどうかを示すダイアログが表示されます。このダイアログを表示せずにツールを実行させたい場合は、コマンドラインから次の形式で入力することにより'/auto'スイッチを指定してください。

C: \ Windows \ デスクトップ \ fixlove.exe /auto

このツールが行う操作は、後述の「手動による駆除」による操作とほぼ同じですが、手順5でインターネットエクスプローラのホームページを下記のアドレスに設定します。

http://www.symantec.com/avcenter/repair_instruct.html

fixlove.exeはデジタル署名されています。シマンテックは、このサイトから直接ダウンロードしたfixlove.exeのみを使用することを推奨します。fixlove.exeのデジタル署名を確認するには、下記のツールを使用してください。

chktrust.exe

chktrust.exeを使ってfixlove.exeのデジタル署名を確認するには、次の手順にしたがってください。

1. chktrust.exeを、fixlove.exeと同じディレクトリにダウンロードする。
2. [スタート]-[プログラム]-[MS-DOSプロンプト]を選択し、MS-DOSプロンプトを起動する。
3. chktrust.exeとfixlove.exeが保存されているディレクトリに移動する。これらのファイルがデスクトップフォルダに保存されていた場合、MS-DOSプロンプトで下記のコマンドを入力してください。

 cd \ windows \ デスクトップ

4. 下記のコマンドを入力し、fixlove.exeのデジタル署名を確認する。

 chktrust -i fixlove.exe

5. デジタル署名が有効な場合、次の質問がダイアログに表示されます。

Do you want to install and run "fixlove.exe" signed on 5/11/2000 3:19 PM and distributed by Symantec Corporation.
(2000年5月11日午後3時19分に署名され、シマンテックにより配布された"fixlove.exe"をインストールして実行しますか?)

6. ご使用のコンピュータのタイムゾーンが[太平洋標準時(米国、カナダ)]以外の値に設定されている場合、このダイアログには、設定されているタイムゾーンに応じた日時が表示されます。たとえば、タイムゾーンが[東部標準時]に設定されている場合、日時は5/11/2000 6:19 PM(2000年5月11日午後6時19分)と表示されます。

7. このダイアログが表示されない場合、あるいは、タイムゾーンに合わせて調整された日時が表示されない場合、そのfixlove.exeは使用しないでください。そのファイルはシマンテックから配布されたものではありません。

8. このダイアログが表示され、日時がタイムゾーンに応じて正しく表示された場合、そのfixlove.exeはシマンテックから配布されたものです。

9. [はい]ボタンをクリックしてchktrustのダイアログを閉じる。

10. exitと入力してEnterキーを押す。これでMS-DOSプロンプトが終了します。

手動による駆除

手動で駆除を行うには、次の手順に従ってください。この作業は必ず、コンピュータに精通したユーザが行ってください。

1. WindowsディレクトリからWin32DLL.vbsを削除する。

2. Windows\Systemディレクトリから下記のファイルを削除する。

MSKernel32.vbs
LOVE-LETTER-FOR-YOU.TXT.vbs
LOVE-LETTER-FOR-YOU.HTM
WINFAT32.EXE
WIN-BUGSFIX.EXE
Funny Love.vbs
Funny Love.htm

3. 下記のレジストリキーから、winfat32.exe、win-bugsfix.exe、および、全ての.VBS項目を削除する。

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices

HKEY_USERS \ <ユーザ名> \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

この変更はすべてのユーザのHKEY_USERSに対して行なってください。

4. 全ユーザのレジストリを調べ、下記のエントリが存在する場合、Windows Scripting HostのTimeout値を元に戻す。

HKEY_USERS \ <ユーザ名> \ SOFTWARE \ Microsoft \ Windows Scripting Host \ Settings

5. 下記のレジストリキーに設定されているインターネットエクスプローラのスタートページを、好みのページに設定する。

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \ Start Page

6. 下記のレジストリキーから、LDAP Connection TimeoutとServer IDを除く、全てのDWORD値を削除する。

HKEY_USERS \ <ユーザ名> \ SOFTWARE \ Microsoft \ WAB

この作業は必ず全ユーザのHKEY_USERSに対して行なう必要があります。

7. 全てのローカルハードディスクから、隠しファイル属性が設定されているMP3、MP2ファイルを検索し、その隠しファイル属性を無効にする。

8. 全てのローカルハードディスクから、LoveLetterが作成したSCRIPT.INIファイルを検索し、次の1行のみを含む空白のファイルで上書きする。

[script]

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

  • 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  • 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  • 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  • パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  • メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  • ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  • 従業員に対し、次のことを徹底させる。
    • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。