SARCでは現時点で、VBS.LoveLetterワームとその亜種・変種を29種類発見しています。 最新の変種は、VBS.LoveLetter.ACです。 2000年5月9日付のウイルス定義ファイルは、現在認識済みの亜種・変種ワームを全て検出・駆除します。

Norton AntiVirusのユーザは、LiveUpdate機能を使用するか、または、こちらをクリックし、最新のウイルス定義をダウンロードすることにより、既知のVBS.Loveletterワーム全てに対応することができます。

VBS.LoveLetterまたは変種ワームに感染した場合の修復ツールは、 こちらにあります。

シマンテック アンチウイルス センター(SARC)には、2000年5月4日（世界標準時）早朝からこのワームに関する報告が寄せられています。

VBS.LoveLetterワームはフィリピンのマニラから発信されたらしく、その後、世界中の数百万台ものコンピュータに感染しました。

このワームは、Microsoft Outlookのアドレス帳にある電子メールアドレスや、mIRCを介してインターネット上のチャットルームに自分自身を送信します。 その後、ローカルドライブや他の接続しているドライブ上にある、次の拡張子を持つファイルに上書きします。

.vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .htm, .html, .xls, .ini, .bat, .com, .mp3, .mp2

これらのファイルの内容は、ワームのソースコードに置き換えられ、元の内容は破壊されます。また、感染したファイルには、.vbsという拡張子が付加されます。たとえば、 image.jpgというファイルに感染した場合、そのファイル名はimage.jpg.vbsになります。ただし、拡張子が.mp2または.mp3のファイルは、非表示状態になるだけで、実際には破壊されません。 Norton Systemworksのユーザは、感染時にNProtectを実行していた場合、これらのファイルを復元させることができます。 このワームはまた、 パスワードを盗むトロイの木馬型プログラムをWebサイトからダウンロードしようとします。

シマンテックで現在確認しているVBS.Loveletterは、次の29種類です（2000年5月9日現在）。

1. VBS.LoveLetter.A
   
   検出名：VBS.LoveLetter.A(1)
   添付ファイル： LOVE-LETTER-FOR-YOU.TXT.vbs
   件名： ILOVEYOU
   本文： kindly check the attached LOVELETTER coming from me.
   
   
   
2. VBS.LoveLetter.B（別名：Lithuania）
   
   検出名：VBS.LoveLetter.B(1)
   添付ファイル： バージョンAと同じ
   件名： Susitikim shi vakara kavos puodukui...
   本文： バージョンAと同じ
   
   
   
3. VBS.LoveLetter.C（別名：Very Funny）
   
   検出名：VBS.LoveLetter.C(1)
   添付ファイル： Very Funny.vbs
   件名： fwd: Joke
   本文：なし
   
   
   
4. VBS.LoveLetter.D（別名：BugFix）
   
   検出名：VBS.LoveLetter.A(1)
   添付ファイル： バージョンAと同じ
   件名： バージョンAと同じ
   本文： バージョンAと同じ
   備考： レジストリでWIN-BUGSFIX.exeの代わりにWIN- -BUGSFIX.exeを登録する。
   
   
   
5. VBS.LoveLetter.E（別名：Mother's Day）
   
   検出名：VBS.LoveLetter.E
   添付ファイル： mothersday.vbs
   件名： Mothers Day Order Confirmation
   本文： We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com
   備考： IRC経由でmothersday.HTMを送信する。& comment: rem hackers.com　スタートアップページをhackes.com、l0pht.com、2600.comのいずれかに設定する。
   
   
   
6. VBS.LoveLetter.F（別名：Virus Warning）
   
   検出名：VBS.LoveLetter.F
   添付ファイル： virus_warning.jpg.vbs
   件名： Dangerous Virus Warning
   本文： There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.
   備考： Urgent_virus_warning.htm
   
   
   
7. VBS.LoveLetter.G（別名：Virus ALERT!!!）
   
   検出名：VBS.LoveLetter.Variant or VBS.LoveLetter.G
   添付ファイル： protect.vbs
   件名： Virus ALERT!!!
   本文： VBS.LoveLetter.Aに関する長文メッセージ
   備考： 送信者が support@symantec.com.となっている。拡張子が.batまたは.comのファイルに上書きする。
   
   
   
8. VBS.LoveLetter.H（別名：No Comments）
   
   検出名：VBS.LoveLetter.A
   添付ファイル： バージョンAと同じ
   件名： バージョンAと同じ
   本文： same a A
   備考： ワームコード先頭のコメントラインが削除されている。
   
   
   
9. VBS.LoveLetter.I（別名：Important! Read carefully!!）
   
   検出名：VBS.LoveLetter.Variant
   添付ファイル： Important.TXT.vbs
   件名： Important! Read carefully!!
   本文： Check the attached IMPORTANT coming from me!
   備考： 先頭にBrainStorm / @ElectronicSoulsによるコメントラインが追加されている。ESKernel32.vbs、ES32DLL.vbsをコピーする。また、 BrainStorm and ElectronicSoulsに関するMIRCスクリプトコメントをコピーし、IMPORTANT.HTMをチャットルームへ送信する。
   
   
   
10. VBS.LoveLetter.J
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： protect.vbs
    件名： Virus ALERT!!!
    本文： Largely the same as the G variant.
    備考： Gバリアントを僅かに修正したバージョンと思われる。
    
    
    
11. VBS.LoveLetter.K
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： Virus-Protection-Instructions.vbs
    件名： How to protect yourself from the IL0VEY0U bug!
    本文： Here's the easy way to fix the love virus.
    備考：
    
    
    
12. VBS.LoveLetter.L（I Cant Believe This!!!）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： KillEmAll.TXT.VBS
    件名： I Cant Believe This!!!
    本文： I Cant Believe I have Just Recieved This Hate Email .. Take A Look!
    備考： "Killer, by MePhiston"というコメントがあり、JPGとJPEGの代わりにGIFとBMPに置き換え、MP3とMP2の代わりにWAVとMIDを隠す。IRCルーチンは無く、チャットルームユーザには感染しない。ILER.HTM、KILLER2.VBS、KILLER1.VBSをハードディスクにコピーする。
    
    
    
13. VBS.LoveLetter.M（Arab Air）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： ArabAir.TXT.vbs
    件名： Thank You For Flying With Arab Airlines
    本文： Please check if the bill is correct, by opening the attached file
    備考： JPGとJPEGの代わりにDLLと EXE ファイルを置き換える。MP3とMP2の代わりにSYSとDLLを隠す。no-hate-FOR-YOU.HTMをハードディスクにコピーする。
    
    
    
14. VBS.LoveLetter.N（別名：Variant Test）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： IMPORTANT.TXT.vbs
    件名： Variant Test
    本文： This is a variant to the vbs virus.
    備考： 自分自身をsndvol32.vbsとIEAKDLL.vbsとしてコピーする。Internet Explorerのスタートページが http://astalavista.box.skに変わる。 パスワードを盗むトロイの木馬型ウイルスはダウンロードしない。*.mpg, *.mpeg, *.avi, *.qt, *.qtmに上書きする。mIRC経由でインターネットチャットルームにimportant.htmファイルを送信する。
    
    
    
15. VBS.LoveLetter.O（バージョンAと同じ）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： LOVE-LETTER-FOR-YOU.TXT.vbs
    件名： ILOVEYOU
    本文： kindly check the attached LOVELETTER coming from me.
    備考： インターネットチャットルームに送られるscript.iniファイルのコメントラインが変更されている。
    
    
    
16. VBS.LoveLetter.P（別名：Yeah Yeah）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： Vir-Killer.vbs
    件名： Yeah, Yeah another time to DEATH...
    本文： This is the Killer for VBS.LOVE-LETTER.WORM.
    備考： Internet Explorerのスタートページを http://www.yahoo.com/Vir-Killer.exeに設定する。パスワードを盗むトロイの木馬型ウイルスはダウン ロードしない。*.JPGと*.JPEGの代わりに*.ZIPと*.RARに上書きし、 *.MP3と*.MP2の代わりに*.PAS と*.ASMを隠す。
    
    
    
17. VBS.LoveLetter.Q（別名：LOOK!）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： LOOK.vbs
    件名： LOOK!
    本文： hehe...check this out.
    備考： MSUser32.vbsとUser32DLL.vbsという名前で自分自身のコピーを作成する。 *.JPG と*.JPEGの代わりに*.XLSと*.MDBに上書きし、*.MP3と*.MP2の代わりに*.EXEと*.LNKを隠す。LOOK.HTMファイルを作成する。
    
    
    
18. VBS.LoveLetter.R（別名：Bewerbung）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： BEWERBUNG.TXT.vbs
    件名： Bewerbung Kreolina
    本文： Sehr geehrte Damen und Herren!
    備考： IRCで、接続しているインターネットチャットルームにBEWERBUNG.HTMを送信する。
    
    
    
19. VBS.LoveLetter.S（バージョンAと同じ）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： LOVE-LETTER-FOR-YOU.TXT.vbs
    件名： ILOVEYOU
    本文： kindly check the attached LOVELETTER coming from me.
    備考： 数行のコメントが追加されている。
    
    
    
20. VBS.LoveLetter.T（BAND-AID）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： BAND-AID.DOC.VBS
    件名： Recent Virus Attacks-Fix
    本文： Attached is a copy of a script that will reverse the effects of the LOVE-LETTER-TO-YOU.TXT.vbs as well as the FW:JOKE, Mother's Day and Lithuanian siblings.
    備考： Internet Explorerのスタートページをウイルス関連サイトに設定する。拡張子が.BAT, .GIF, .TIF, .TIFF, .WAV, .LNK, .BAK, .DOC, .XLS, .RTF, .TXT, .HTM, .HTML, .XML, .MNY, .ZIP, .BMP, .CAB, .INF のファイルを削除する。MP3とMP2ファイルを隠さずに削除する。mIRCを使用してBAND-AID.HTMをインターネットチャットルームに送信する。
    
    
    
21. VBS.LoveLetter.U（Presente）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： UOL.TXT.vbs
    件名： PresenteUOL
    本文： O UOL tem um grande presente para voce, e eh exclusivo.Veja o arquivo em anexo. Http://www.uol.com.br
    備考： Internet Explorerのスタートページをhttp://www.uol.com.brに設定し、拡張子が .EXE, .COM, .INIのファイルを隠す。mIRCを使用してインターネットチャットルームにUOL.HTMを送信する。
    
    
    
22. VBS.LoveLetter.V（バージョンAと同じ）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： LOVE-LETTER-FOR-YOU.TXT.vbs
    件名： ILOVEYOU
    本文： kindly check the attached LOVELETTER coming from me.
    備考： コメントラインが数行、追加されている。
    
    
    
23. VBS.LoveLetter.W（バージョンAと同じ）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： Bug and virus fix.vbs
    件名： IMPORTANT: Official virus and bug fix
    本文： This is an official virus and bug fix. I got it from our system admin. It may take a short while to update your system files after you run the attachment.
    備考： Internet Explorerのスタートページをウイルス関連サイトに設定する。拡張子が.EXE, .COM, .DLL, .SYS, .PWL, .TXTのファイルに上書きする。 mIRCを使用してインターネットチャットルームにBug and virus fix.htmを送信する。
    
    
    
24. VBS.LoveLetter.X（ANTI-VIRUS-LISTE）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： ANTI-VIRUS-LISTE.TXT.vbs
    件名： NEUE ANTI-VIRUS-LISTE
    本文： Hiermit senden wir Ihnen/Dir eine neue Liste mit LOVE-LETTER-VIRUS Namen, die nicht geoeffnet werden sollten, bitte sofort lesen, danke.
    備考：拡張子が.MDB, .PDF, .WSH, .DOT, .HTA, .JS, .DRV, .INIのファイルに上書きする。 拡張子が.XLS, .DOCのファイルを隠す。mIRCを使用してインターネットチャットルームに ANTI-VIRUS-LISTE.HTMを送信する。
    
    
    
25. VBS.LoveLetter.Y（LOOK! 2）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： LOOK.vbs
    件名： LOOK!
    本文： hehe...check this out.
    備考： 変種Qに似ているが、MP3ファイルとMP2ファイルを隠す。
    
    
    
26. VBS.LoveLetter.Z（BUG & VIRUS FIX）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： MAJOR BUG & VIRUS FIX.vbs
    件名： BUG & VIRUS FIX
    本文： I got this from our system admin. Run this to help pervent any recent or future bug & virus attack's. It may take a small while up update your files.
    備考： Internet Explorerのスタートページをウイルス関連のサイトに設定する。 拡張子が.COM, .DLL, .EXE, .TXT, .BAT, .SYSのファイルに上書きする。 mIRCを使用して BUG & VIRUS FIX.HTMをインターネットチャットルームに送信する。
    
    
    
27. VBS.LoveLetter.AA（バージョンAと同じ）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： LOVE-LETTER-FOR-YOU.TXT.vbs
    件名： ILOVEYOU
    本文： kindly check the attached LOVELETTER coming from me.
    備考： 数行のコメントラインが追加されている。
    
    
    
28. VBS.LoveLetter.AB（バージョンAと同じ）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： LOVE-LETTER-FOR-YOU.TXT.vbs
    件名： ILOVEYOU
    本文： kindly check the attached LOVELETTER coming from me.
    備考： 数行のコメントと命令が削除されている。
    
    
    
29. VBS.LoveLetter.AC（antivirusupdate）
    
    検出名：VBS.LoveLetter.Variant
    添付ファイル： antivirusupdate.vbs
    件名： New Variation on LOVEBUG Update Anti-Virus!!
    本文： There is now a newer variant of love bug. It was released at 8:37 PM Saturday Night. Please Download the following patch. We are trying to isolate the virus. Thanks Symantec."
    備考： 一部のコメントラインが変更されている。mIRCを使用してインターネットチャットルームに antivirusupdate.htmを送信する。
    

別名: Lovebug, I-Worm.LoveLetter, VBS/LoveLetter.A, VBS/LoveLet-A

種別: ワーム

感染サイズ: 10,307バイト

対応日(Intelligent Updater)* 00/05/05(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 1000以上 報告件数: 10以上 地域感染度: 高 対処レベル: 中 駆除: 普通

危険性評価グラフ 被害状況: 高 ダメージ: 中 感染力: 高

ダメージ

• 発症のタイミング: 添付メールの実行時。
  
• 発病症状: ファイルが上書きされる。
  
  • 大量メール送信: Microsoft Outlookのアドレス帳に登録されている全てのアドレスに自分自身を送信する。
    
  • ファイル改ざん: 拡張子が .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .htm, .html, .xls, .ini, .bat, .com, .mp3, .mp2のファイルに 上書きする。また、拡張子が .mp2と.mp3のファイルの属性を隠しファイルに設定して、画面上に表示されないようにする。 上書きされたファイルの復元は、感染時にNorton SystemworksまたはNorton Utilitiesを実行していた場合に可能。変種Gは、.batファイルと.comファイルも上書きする。
    
  • パフォーマンス低下: 電子メールサーバが停止する可能性がある。
    

感染力

• メール件名: ILOVEYOU
  
• 添付ファイル: Love-letter-for-you.txt.vbs
  
• 添付ファイルのサイズ: 10,307バイト
• 共有ドライブ: ネットワークドライブ上のファイルに上書きする。
  
• 感染対象: 拡張子が.vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .htm, .html, .xls, .ini, .bat, .com, .mp3, .mp2のファイルに上書きする。拡張子が .mp3と.mp2のファイルは、隠しファイルになる だけで、元データは破壊されない。変種Gは、.batファイルと.comファイルも上書きする。
  

VBS.LoveLetterが実行されると、次の場所に自分自身のコピーを作成します。

• WindowsディレクトリにWin32dll.vbsとして
  
• WindowsシステムディレクトリにMSKernel32.vbsとして
  
• WindowsシステムディレクトリにLove-letter-for-you.txt.vbsとして
  

このワームは、WindowsシステムディレクトリにWinfat32.exeが存在するか調べます。このファイルが存在しない場合、Internet ExplorerのスタートページをWin-bugsfix.exeというファイルがあるWebサイトに設定します。現在、このWebサイトには接続できません。閉鎖されているようですが、Webサーバの過重負荷による可能性もあります。

Norton AntiVirusは、上記によりダウンロードされたWin-bugsfix.exeを、PWSteal.Loveletterとして検出します。

このファイルが存在する場合、そのファイルがシステム起動時に実行されるよう、以下のレジストリキーが作成されます。

HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\WIN-BUGSFIX

その後、インターネットのスタートページが空白ページに置き換わります。

このワームは、ネットワークドライブも含む各ドライブ上で、拡張子が.vbsまたは.vbeのファイルに感染しようとします。また、拡張子が .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .htm, .html, .xls, .ini, .bat, .com, .mp3, .mp2 のファイルを探し、該当するファイルが見つかると、同じファイル名に拡張子.vbsを付けたファイルを作成し、そこに自分自身をコピーして増やします。 このようなファイルを1つでも実行またはダブルクリックすると、そのコンピュータが感染することになります。

このワームはまた、チャットルームの他のユーザにLove-letter-for-you.htmファイルを送る script.iniファイルをmIRCプログラムディレクトリに作成し、mIRC経由でも感染を広げます。

このワームはMicrosoft Outlookアプリケーションに対するMAPIを呼び出して次のようなメールメッセージを作成し、Microsoft Outlookのアドレス帳に登録されている全て のアドレスに送りつけます。このとき、1人につき1回だけ送信されるよう、レジストリで各受信者に印を付けます。

メール件名：

ILOVEYOU

メール本文：

kindly check the attached LOVELETTER coming from me.

このメールには次の名前のファイルが添付されます。

Love-letter-for-you.txt.vbs

最後に、Love-letter-for-you.htmというファイルをWindowsシステムディレクトリ内にコピーします。 このファイルは、ユーザがインターネットチャットルーム にログインしているときに、mIRCを通じて送信されます。


変更されるレジストリエントリ

追加されるレジストリキー：

HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\MSKernel32

HKLM\Software\Microsoft\Windows\
CurrentVersion\RunServices\Win32DLL

HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\ESKernel32

HKLM\Software\Microsoft\Windows\
CurrentVersion\RunServices\ES32DLL

HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\WINFAT32

HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\WIN-BUGSFIX

上記プログラムのうち、1つ、またはそれ以上が、ユーザごとに次の場所に追加される可能性があります。

HKEY_USERS\username\Software\Microsoft\
Windows\CurrentVersion\Run


削除されるレジストリキー：

HKLM\Software\Microsoft\Windows\CurrentVersion\
Policies\Network\HideSharePwds

HKLM\Software\Microsoft\Windows\CurrentVersion\
Policies\Network\DisablePwdCaching

HKLM\Software\Microsoft\Windows\CurrentVersion\
Policies\Network\HideSharePwds

HKLM\Software\Microsoft\Windows\CurrentVersion\
Policies\Network\DisablePwdCaching


また、多数のDWORDレジストリ値が次の場所に作成され、その数はメールの送信件数により決まります。

HKEY_USERS\username\SOFTWARE\
Microsoft\WAB

これらのキーの記述形式は、マシンにより異なります。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

VBS.LoveLetterとその変種に対する感染修復ツールは、 こちらで入手可能です。