米社がVBSファイルのワームを警告，危険度は「高」

2001.06.29

　米Norman Data Defense Systemsが米国時間6月28日に，電子メール・ワーム(e-mail worm)とネットワーク・クローラ(network crawler)がペアとなった「W32/Linong.A@mm」「VBS/LoveLetter.CQ@mm」を検出したとして警告を発した。危険度の評価は「高」。

　ワーム「W32/Linong.A@mm」「VBS/LoveLetter.CQ@mm」は，ユーザーのシステムに侵入して悪意のある悪戯コードを書き込む。Outlookや共有ハード・ディスクなどを通して拡散，WWWにも広がっている。主に小企業やSOHO，個人ユーザーのパソコンに感染する。感染するとMS ExchanｇｅＳｅｒｖｅｒがクラッシュする可能性もあるという。

　ワームが送りつけられる電子メールの題名や本文，添付ファイル名は様々で，これまでに確認されているものには以下がある。

-- One of this mail,
True Story ...
mylinong.exe

-- Info From CFusion,
You can update your CFusion Online For Free,
CFusion.exe

-- Patch Your CFusion,
Are You Ready Fix Your CFusion, Please Update
PatchFusion.exe

-- Still Remember You,
She is MY sexy Linong,
MyLinong.exe

-- Light Up The Night,
Light up The Night PARTY...,
Light up the night.exe

-- Man Choice, Are You Man or women. This is The sponsor from our site The man choice
StarMild.exe

-- Kiss Me
100 way to kiss your GirlFriend or your boyfriend
Kiss.exe

-- Sexy Model
Did you ever see the sexy girls like her
Sexy.exe

-- Popeye Cartoon
The New Popeye New Cartoon NetWork
Popexe.exe

-- Olive & Popeye
Olive And Popeye Cartoon
Olive.exe

-- MyGirlFriend Dogs
Nice dog...
BullBull.exe

-- My Girl Friend' Dogs
Good Dog and Smart dogs
Moly.exe

-- Sweet Lovely
My Icq Friend Sweet and Lovely
Lovely.exe

-- Password
Here The list of Nude Password Website. All of them Still Active, and few of them are death
password
868879.exe

-- Need Help
Do you need help ? to get money over the internet. You can read the help
Help.exe

-- Bill
Bill..
BillGate

-- Mikropos
The New Mikropos Software From Mikropos Network
Mikropos

　実行ファイル「\PCPower.exe」「\MyLinong.exe」に自分自身を複製し，VBSファイル「mylinong.vbs」をWindowsシステム・フォルダに書き込む。これらのファイルは次のレジストリ・キーから指定される。

HKEY_LOCAL_MACHINE\Software\Windows\Currentversion\Run

　さらに上記のファイルのうち一つをWindowsシステム・ディレクトリに複製し，Outlookのアドレス帳に保存されているすべての宛先に複製を送りつける。その後，「Linong I Love U So Muc Linong For ever My LoveX」という名で501個のディレクトリを作成する。Xには0から500までの数字が入る。

VB Script「VBS/LoveLetter.CQ」をWindowsシステム・ディレクトリに保存し，さらに以下の4ファイルに複製する。

\mylinong.jpg.shs
\Kern32Lin.vbs
\Vbrun32DLL.vbs
\mylinong.jpg.vbs

　そして，次のレジストリ・キーを設定する。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Kern32lLin \Kern32Lin.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
Vbrun32DLL \vbrun32DLL.vbs

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page\
http://www.thewebpost.com/lovepoems/1198/dpt112098ily.shtml

　電子メールを介して，オリジナルの実行ファイルをOutlookのアドレス帳のすべての宛先に送りつける。

　さらに，IPアドレスを生成して接続を試みる。ハード・ディスクが共有されていると，自身「linong.vbs」を別のパソコンのルート・フォルダやWindowsフォルダ，スタートアップ・フォルダに複製する。

　ワームは1日おきに「I Love You Linong，You are the love of my love...」というメッセージを表示する。

　Norman社は同社のWWWサイトにてさらに詳しい情報や駆除ファイルなどを提供している。

　「小企業ではファイアウオールの設置などが十分でないところも多く，ハード・ディスクの共有などでもセキュリティ・ポリシーやリスク管理が甘くなりがちで侵入されやすい」（Norman社CEOのHenry Dugan氏）