VBS.Plan

VBS.Planは、Visual BASIC Scriptワームで、2000 年8月28日以前のウイルス定義では Norton AntiVirusではVBS.LoveLetter.Variant（VBS.LoveLetterの亜種）として検出されています。このワームの属性の多くはVBS.LoveLetterと同じです。MS Outlookを使用して増殖し、自分自身のコピーでファイルを上書きします。

別名: VBS.President.Worm, VBS/Columbia, VBS.LoveLetter.AS, VBS.LoveLetter.BJ, I-Worm.Plan

種別: ワーム

感染サイズ: 12,609バイト

対応日(Intelligent Updater)*	00/06/15(米国時間)

*	Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。
**	LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況

危険性評価グラフ

被害状況: 低	ダメージ: 中	感染力: 高

ダメージ

発症のタイミング: メール添付ファイルの実行時。
9月17日。
発病症状: ファイルの上書き。
マッピングされているネットワークドライブの接続を全て解除する。
- 大量メール送信: Microsoft Outlookのアドレス帳に登録されている全てのアドレスに自分自身を送信する。
- ファイル改ざん: 拡張子が.vbs, .vbe, .js, .jse, .css, .wsh, .sct, .jpg, .jpeg, .mp3, and .mp2のファイルに上書きする。拡張子が.mp2または.mp3のファイルに対しては、隠しファイルに設定することにより、画面上に表示されないようにする。感染時にNorton UtilitiesまたはNorton SystemWorksのNProtectを実行していた場合、上書きされるファイルの復元が可能。logow.sysとlogos.sysを置き換える。
- システムの不安定化: メールサーバの過重負荷になる可能性がある。

感染力

メール件名: US PRESIDENT AND FBI SECRETS =PLEASE VISIT => (HTTP://WWW.2600.COM)<= ランダムに生成された6文字（全て大文字）または空白の場合もある。
添付ファイル: 末尾に.gif.vbs、.bmp.vbs、.jpg.vbs.のいずれかが付き、ランダムに生成された4～8文字のファイル名。
添付ファイルのサイズ: 12,609バイト
感染対象: 次の拡張子が付いたファイルに上書きする。.vbs, .vbe, .js, .jse, .css, .wsh, .sct, .jpg, .jpeg, .mp3, .mp2
また、拡張子が .mp2と.mp3のファイルの属性を隠しファイルに設定して、画面上に表示されないようにする。

このワームを実行すると、次の場所に自分自身のコピーを作成します。

Windowsディレクトリに、reload.vbsとして。
Windows\Systemディレクトリに、Linux32.vbsとして。
Windows\Systemディレクトリに、ランダムに生成された4～8個の文字に.gif.vbs、.jpg.vbs、.bmp.vbsのいずれかが末尾に付いた名前のファイルとして。

このワームは、Winfat32.exeが存在するかどうかを調べます。このファイルが存在する場合、Internet Explorerのホームページ設定を次のいずれかのアドレスに変更します。

その後、次のように、ダウンロードされるファイルにより異なる操作を行います。

macromedia32.zipをimportant_note.txtという隠しファイルとしてWindowsディレクトリ内にコピーし、このテキストファイルが起動時に読み込まれるようレジストリを変更する。
linux321.zipを\windows\logos.sysとしてコピーし、Windowsのシャットダウン時の表示画面を置き換える。
linux322.zipを\windows\logow.sysとしてコピーし、Windowsのシャットダウン時の表示画面を置き換える。

このワームはまた、Windowsディレクトリ内にUs-president-and-fbi-secrets.htmファイルを作成しますが、このファイルは読み込まれません。

このワームはMicrosoft Outlookアプリケーションに対するMAPI呼び出しを使用してメッセージを作成し、Microsoft Outlookのアドレス帳に登録されている全てのアドレスに送りつけます。このとき、1人につき1回だけ送信されるよう、レジストリで送信済みの宛先に印を付けます。

ランダムに生成されるファイル名は全て大文字で、偶数番目の文字には母音が使用されています。例えば、SOXU、DEII、YIEUHUDI、BILALUなどです。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
従業員に対し、次のことを徹底させる。
- 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
- インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
- 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。

VBS.Plan を駆除するには、次の順序で手順を実行します。 (具体的な手順については、下記を参照してください。）

NAV を開き、すべてのファイルがスキャン対象として設定されていることを確認
コンピュータをセーフモードで再起動
コンピュータ上でスキャンを実行し感染ファイルを検出
Us-president-and-fbi-secrets.htm ファイル、および拡張子が .vbs のファイルを削除
ワームによってレジストリキーに追加された値を削除
(任意) Logos.sys および Logow.sys のコピーを復元
(任意) 感染したイメージファイルを復元

NAV ですべてのファイルがスキャン対象として設定されていることを確認するには：

NAV 4.0/5.0 の場合：
1. NAV を開きます。
2. [オプション] をクリックします。
3. [スキャナ] タブをクリックします。
4. [すべてのファイル] をクリックし、[OK] をクリックします。
NAV 2000/2001 の場合：
1. NAV を開きます。
2. [オプション] をクリックします。
3. [手動スキャン] をクリックします。
4. 「スキャンするファイルの種類」の項目で、[すべてのファイル] をクリックし、[OK] をクリックします。

コンピュータをセーフモードで再起動するには：

Windows 95 の場合：
1. すべてのプログラムを終了し、コンピュータをシャットダウンします。
2. コンピュータの電源を切り、30秒待機します。ウイルスをメモリから削除するには、必ずコンピュータの電源を切る必要があります。リセットボタンは使用しないでください。
3. コンピュータの電源を入れます。「Windows 95 を起動中です...」というメッセージが表示されたら、F8キーを押します。
4. セーフモードに該当する数値を入力し、Enter キーを押します。
Windows 98/Windows Me の場合：
1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。
2. msconfig と入力し、[OK] をクリックします。[システム設定ユーティリティ] ダイアログボックスが開きます。
3. [全般] タブの [詳細設定] をクリックします。
4. [スタートアップメニューを使用可能にする] をチェックし、[OK] をクリックした後、もう一度 [OK] をクリックします。
5. すべてのプログラムを終了し、コンピュータをシャットダウンします。
6. コンピュータの電源を切り、30秒待機します。ウイルスをメモリから削除するには、必ずコンピュータの電源を切る必要があります。リセットボタンは使用しないでください。
7. コンピュータの電源を入れ、メニューが表示されるまで待機します。
8. セーフモードに該当する数値を入力し、Enter キーを押します。
  
  備考：この文書のすべての手順を完了した後、手順 1 から 4 を再度実行し、手順 4 では [スタートアップメニューを使用可能にする] を無効にすることができます。次回コンピュータを起動するときには、スタートアップメニューは表示されません。

コンピュータ上でスキャンを実行し、感染ファイルを検索するには：

NAV を開いてコンピュータ全体のスキャンを実行し、感染ファイルとして検出されたファイルをすべて削除します。

Us-president-and-fbi-secrets.htm ファイルと拡張子が .vbs のファイルを削除するには：

まず最初に、Windows 上ですべてのファイルが表示されるよう設定し、その後ワームの .htm および .vbs ファイルを検索して削除します。手順は次のとおりです。

すべてのファイルを表示するには：

Windows エクスプローラを開きます。
[表示] メニューをクリックし、[オプション] または [フォルダオプション] をクリックします。
[表示] タブをクリックし、[登録されているファイルの拡張子は表示しない]のチェックを外します (チェックされている場合）。
[すべてのファイルを表示する] をクリックして有効にし、[OK] をクリックします。

ワームのファイルを検索するには：

[スタート] ボタンを押し、[検索] をポイントして、[ファイルやフォルダ] をクリックします。
[探す場所] が (C:) に設定されていることを確認し、また[サブフォルダも探す] をチェックします。
[名前] ボックスに us*.htm と入力し、[検索開始] をクリックします。
Us-president-and-fbi-secrets.htm ファイルが検出された場合は、そのファイルを選択し、Delete キーを押します。
[新しい条件] をクリックし、[OK] をクリックして条件をクリアします。
[名前] ボックスに *.vbs と入力し、[検索開始] をクリックします。
ファイルが検出された場合、通常、検出されたファイルはワームによって上書きされたファイルであるため、削除する必要があります。検出された .vbs ファイルが自ら作成したファイル、あるいは特定の目的でダウンロードしたファイルである場合は、フロッピーディスクなどの外部メディアにこれらのファイルを移動してください。

ワームによって追加された値をレジストリから削除するには：

注意：システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず、「レジストリのバックアップ方法」をお読みください。

[スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。[ファイル名を指定して実行]ダイアログボックスが表示されます。
regeditと入力し、[OK]をクリックします。レジストリエディタが開きます。

備考：レジストリの編集方法については、[ヘルプ] および [ヘルプ項目] をクリックしてください。キーと値の変更についての項目を参照してください。
次のレジストリキーを選択します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
画面右側で、次の文字列を検索します。

plan columbia
linux32
reload
上記のいずれかの文字列が見つかったら、１つずつ選択し、Delete キーを押し、[はい] をクリックして削除を実行します。
次のサブキーを選択します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
画面右側で、次の文字列を検索します。

reload
文字列が見つかったら選択し、Delete キーを押します。
レジストリエディタを終了します。

(任意) Logos.sys および Logow.sys のコピーを復元するには：
場合によっては、VBS.Plan によって次のファイルが感染していることがあります。

Logow.sys
Logos.sys

これらのファイルは、Windows シャットダウンメッセージを表示するために Windows によって使用されるファイルです。これらのファイルを削除すると、「Windows をシャットダウンしています」、あるいは「コンピュータの電源を切れる状態になりました」というメッセージが表示されずに、Windows がシャットダウンされます。Windows のシャットダウン機能そのものには影響はありません。これらのファイルを復元する必要がある場合は、抽出コマンド (Windows 95) またはシステムファイルチェッカー (Windows 98) を使用する必要があります。詳しくは、ご使用の Windows に付属のユーザガイドをご覧下さい。

(任意) 感染したイメージファイルを復元するには：
Norton Utilities を使用中で、感染時にゴミ箱が保護されていた場合には、削除されてしまった感染ファイルの元のファイルの多くを元に戻すことができます。具体的な手順は、下記のとおりです。

保護されているゴミ箱を右クリックし、Norton UnErase をクリックします。
ウィザードが表示されたら、[次へ] をクリックします。
次画面で、Ctrl キーを押しながら、元に戻すファイルをクリックします。
[復元] をクリックします。

追加情報

感染防止策
この種のワームやウィルスは、そのコードの実行にVBScriptコンピュータ言語を使用します。スクリプト遮断機能(Norton AntiVirus 2001/2002)を有効にするか、あるいは、Windows Scripting Hostを無効またはアンインストールすることで、この言語を使用する脅威による被害を防ぐことが可能です。Windows Scripting HostはWindowsのオプションにすぎないため、それをアンインストールしても問題はありません（ただし、プログラムによっては、正常に機能するためにWindows Scripting Hostを必要とするものもあります）。　

Norton AntiVirus 2002をご使用の場合はスクリプト遮断機能を必ず有効にしておいてください（デフォルトでは有効に設定されています）。
Norton AntiVirus 2001をご使用の場合、Liveupdateを実行することで、スクリプト遮断機能を含むプログラムアップデートを無償で入手することができます。
その他のバージョンのNorton AntiVirusをご使用の場合は、Security Responseから配布されているWindows Scripting Host無効化ツールをご利用ください。
Windows Scripting HostをMicrosoft Outlook Express内でのみ無効にする方法については、下記のサイトをご覧ください。
Microsoft Knowledge Base document OLEXP: How to Disable Active Scripting in Outlook Express, Article ID: Q192846（英語）