今回は「VBS_LOVELETTER.A」の活動を検証する。「VBS_LOVELETTER.A」は一般に「ラブレターウイルス」の通称で知られるVBS(Visual Basic Script)の上書き感染型ウイルス/マスメーリングワームだ。
VBSはWindows上でそのまま実行できる利点を持つスクリプト言語である。スクリプトのプログラムはソースコードのまま流布されるため,このラブレターウイルスのプログラムを改造した亜種や,参考にして作成されたと見られる不正プログラムも多く出回った。
ラブレターウイルスの強力なマスメーリングワーム活動は強力である。2000年5月に登場するや否や,前年に登場した「メリッサ」を上回る史上最大規模の世界的大流行となった。「ILOVEYOU」という件名,「kindly check the attached LOVELETTER coming from me(意訳:添付ファイルは私からのラブレターなので読んでください)」という本文に「LOVE-LETTER-FOR-YOU.TXT.vbs」という添付ファイル。ラブレターをモチーフにした内容のメールが大いに受信者の興味を引いたことが大流行につながった。
このような,ユーザーの興味を引いてユーザー自身に不正プログラムを実行させるソーシャルエンジニアリング的手法は,現在でも最も多用される攻撃方法である。
では,ラブレターウイルスの活動を検証してみる。OSはWindows XP SP3を使用した。また,ラブレターウイルスはOutlookの機能を利用して電子メールを送信するため,Outlookから検証ネットワーク内に構築したメール・サーバーを利用してメール送信できる設定も行った。ラブレターウイルスのファイルは,オリジナルのファイル名である「LOVE-LETTER-FOR-YOU.TXT.vbs」のままデスクトップにコピーし,バックグラウンドのプロセス状態を確認するためにProcess Explorerも起動しておく。
デスクトップ上のラブレターウイルス・ファイルをダブルクリックすると,Process Explorer上で「wscript.exe」のプロセスの起動が確認された。これはスクリプト言語であるVBSを解釈して実行するホストプログラムのプロセスである。Windowsのデフォルトでは,VBSファイルをこの「wscript.exe」と関連付けているため,VBSファイルはダブルクリックで実行できる(図1)。
そしてこの「wscript.exe」のプロセス起動とほぼ同時に「Outlook.exe」のプロセスが起動され,アドレス帳へのアクセスの確認を求めるメッセージが表示された(図2)。
