HOME情報セキュリティ情報セキュリティ対策ウイルス対策VBS/LOVELETTERに関する対策について

本文を印刷する

情報セキュリティ

VBS/LOVELETTERに関する対策について

2000年 5月 7日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)

「ILOVEYOU」等のタイトルを持つ電子メールを通じて感染・発病するワーム(広義のウイルスに属する。以下では便宜上「ウイルス」と呼ぶ。)が世界的に大きな被害をもたらしました。 また、その亜種・変種が数十種類作られています。

本ウイルスは亜種・変種も含め、「メールの添付ファイルを不用意に実行しない」というウイルス対策の基本を確実に守れば、感染・発病しません。以下に、今後の被害を防ぐための予防対策と万一感染・発病してしまった場合の対応策について、お知らせ致します。

なお、アドレス帳のメールアドレスを使ってウイルス付きメールを送信する機能があり、結果として、知り合いの方からウイルスが添付されたメールが届くことになる場合が多いと考えられますので、発信者が知り合いの方であっても、安全だと思わないよう、注意が必要です。

今回注意をする必要があるコンピュータ利用者

Windows(95,98,NT,2000)利用者。
メーラとしてOutlookを利用している場合や、インターネットリレーチャットmIRC利用者は更に特別な注意が必要です。

ウイルスの概要

このウイルスは、メールに添付された VBSファイル(ビジュアル・ベーシック・スクリプト・ファイル)を実行する(ダブルクリックして開く行為をする)ことによって感染・発病します。
実行せずに添付ファイルを削除(メールごと削除するのが適切)してしまえば被害に遭いませんが、万一、感染・発病してしまうと、次のような症状が現れます。ただし、(4)、(5)については、現在は発症しないと考えられます。

  • (1)感染コンピュータのファイルの破壊
  • (2)ウイルスの添付されたメールの自動送信
  • (3)IRC(インターネット・リレーチャット)を通じての自己増殖
  • (4)ユーザのID及びパスワードの窃盗
  • (5)悪意あるプログラムの自動呼び寄せ(自動ダウンロード)

このウイルスを発見するうえで意識すべき特徴は、下記に示すとおりです。

  • (1)ウイルスの本体はメールに添付されたファイルであり、その拡張子(注)は、「.vbs」である。

    「.vbs」は、ビジュアル・ベーシック・スクリプトと呼ばれるマイクロソフト社仕様のプログラム言語が記述されたファイルの拡張子を示すもので、通常このようなファイルをメールに添付してやりとりするようなことはない。

  • (2)利用者の錯覚を利用して、拡張子名「.vbs」であることを気付かれにくくしている。

    ウィンドウズの出荷時の仕様では、拡張子を表示しないという設定になっていることがあるので、本当の拡張子が.vbsであっても、これが表示上見えず、それより手前にある文字列が拡張子であるかのように表示されていることがある。VBS/LOVELETTER は、そのような利用者の錯覚を利用して正体がばれにくくしてある。
    即ち、VBS/LOVELETTER  は、LOVELETTER.TXT.vbsという名称のファイルが正体であって、この拡張子は.vbsである。しかしながら、拡張子を表示しない設定のままであると.vbsが表示されず、LOVELETTER.TXTと表示されるため、うっかりすると、拡張子が.TXTのテキストファイルであるかのように錯覚してしまう。
    従って、利用者は、添付ファイルの本当の正体を確認する必要がある。(「VBSファイルの見分け方」参照)

  • (3)亜種・変種の発生が多い。

    すでに数十種類の亜種・変種が出現している。特に注意すべきものとして、Mother's Day、VBS/NewLove などがある。

(注)拡張子とは、ファイル名の末尾につく「.xxx」(xは任意の文字)のような部分で、一般的にはファイルのタイプを示す約束事になっている。例えば、画像ファイルでは「.gif .jpg .png」などの種類があり、「.txt」は単純なテキスト文書などと決まっている。ワード文書やエクセル文書などにも対応する文字列がある。

予防対策

今回のウイルスも、ウイルス対策の基本を確実に守れば被害に遭わずにすみます。以下に予防のための対策を示します。

  • 1.メールの添付ファイルを不用意に実行しない。
    メールに添付されている不審なファイルを実行(ダブルクリック)しないこと(注)。
  • 2.最新のワクチン及びウイルス定義ファイルを利用する。
    各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。

主なワクチンベンダーのWebサイト等一覧

(注)今回のウイルスは、既に亜種・変種が数十例発生しています。亜種・変種では、添付ファイルの名称等が異なったものとなっていますが、いずれも拡張子が「.vbs」であるという特徴があります。従ってメールのタイトルや添付ファイルの名前の如何によらず、「*.vbs」という拡張子の添付ファイルについては、実行しない(ダブルクリックしない)でください。なお、通常のメールのやりとりでは、.vbsという拡張子のファイルを添付することは、極めてまれなことなので、もしそのようなファイルが添付されていたら、ウイルスではないかと疑うことが賢明です。

VBSファイルであるかどうかを確認しにくい場合があります。以下の「VBSファイルの見分け方」を参照してください。
なお、仮にVBSファイルを実行してしまった(ダブルクリックしてしまった)場合、表面的には何事もなかったかのように見えるかもしれませんが、ウイルスによる破壊活動は実行されている可能性が高いと考えられます。

感染・発病の概要

  • (1)感染コンピュータのファイルの破壊
    マシン内にある特定の拡張子を持つファイルを探し出し、これに“感染”してオリジナルファイルを破壊します。感染(破壊)されるファイルのファイル名はそのままで、拡張子が「vbs」に変更されます(例:xxxx.jpg=>xxxx.jpg.vbs)。このため、“感染”されたファイルを実行すると、ウイルスの活動が再度発生します(ただし、メールの送信活動は一番最初に実行されたときしか行われません)。
    なお、感染・破壊されるファイルは、オリジナルのVBS/LOVELETTERではローカルドライブや共有ドライブにある拡張子がvbs, vbe, js, jse, css, wsh, sct, hta, jpg, jpeg, mp3, mp2等であるものです。 亜種・変種の中には、この他にシステム上より重要なファイルを破壊するものもあります。
  • (2)ウイルスによるメールの自動送信
    Outlook利用者においては、Outlookのアドレス帳に登録されているアドレスに対し自分自身を添付したメールを送りつけ感染を広げます。
  • (3)IRC(インターネット・リレーチャット)を通じての自己増殖
    mIRCを利用してインターネット・リレーチャットを行っている場合、これを通じて自己増殖します。
  • (4)ユーザのID及びパスワードの窃盗
    ユーザのID及びパスワードを探り出して特定のメールアドレスに送信する機能が組み込まれていますが、この機能については、現在作動しないようです。
  • (5)悪意あるプログラムの自動呼び寄せ機能(自動ダウンロード機能)
    特定のサイトへ自動的に接続し、悪意あるプログラムをダウンロードさせて、不正な目的の動作をさせようとする機能が組み込まれています。しかしながら、現在この特定サイトは閉鎖されているようであり、実際には機能しないかもしれません。

メール上でのVBSファイルの見分け方

  • (1)添付ファイルのファイル名で拡張子が.vbsあれば、VBSファイルである。
  • (2)メーラーによっては、添付ファイルの表示がvbsアイコンになるので、それを確認する。
    vbsアイコン  vbsアイコン
  • (3)ファイルのプロパティを直接確認する。
    メールの添付ファイルの状態では、ファイルのプロパティを十分確認することができない場合もありますが、いったんディスク上に保存されたファイルの場合は、ファイルのプロパティを見ることによって確認できる

感染確認方法

下記のファイルの存在を確認し、もし存在していれば感染しているので、後述の修復方法に従って、処置を行う。
なお、Windowsの設定によっては、ファイルの拡張子を表示しない状態に設定されている場合もあり、その場合には特定のファイルの存在を確認できないので、注意が必要である。この場合は、プロパティを見ることにより確認できる。
c:\Windows\Win32dll.vbs が存在する。
c:\Windows\system\MSKernel32.vbs が存在する。
c:\Windows\system\Love-letter-for-you.txt.vbs が存在する

修復方法

感染したコンピュータを修復するためには、

  • 1.ウイルスファイルの削除
  • 2.ウイルスが作成した関連ファイルの削除
  • 3.レジストリキーの削除
  • 4.インターネットエクスプローラのスタートアップURL設定の修復

等が必要です。
詳細手順はこちらをご覧下さい。

下記サイトにも情報が掲載されていますので、御参照下さい。

ウイルス対策のトップページこちらをご覧ください。

更新履歴

2000年 5月 7日 掲載
2000年 5月23日 ウイルスの概要等更新
2002年 1月 8日 ワクチンベンダー情報へのリンク修正