米Norman Data Defense Systemsが米国時間6月28日に,電子メール・ワーム(e-mail worm)とネットワーク・クローラ(network crawler)がペアとなった「W32/Linong.A@mm」「VBS/LoveLetter.CQ@mm」を検出したとして警告を発した。危険度の評価は「高」。
ワーム「W32/Linong.A@mm」「VBS/LoveLetter.CQ@mm」は,ユーザーのシステムに侵入して悪意のある悪戯コードを書き込む。Outlookや共有ハード・ディスクなどを通して拡散,WWWにも広がっている。主に小企業やSOHO,個人ユーザーのパソコンに感染する。感染するとMS Exchange Serverがクラッシュする可能性もあるという。
ワームが送りつけられる電子メールの題名や本文,添付ファイル名は様々で,これまでに確認されているものには以下がある。
-- One of this mail,
True Story ...
mylinong.exe
-- Info From CFusion,
You can update your CFusion Online For Free,
CFusion.exe
-- Patch Your CFusion,
Are You Ready Fix Your CFusion, Please Update
PatchFusion.exe
-- Still Remember You,
She is MY sexy Linong,
MyLinong.exe
-- Light Up The Night,
Light up The Night PARTY...,
Light up the night.exe
-- Man Choice, Are You Man or women. This is The sponsor from our site The man choice
StarMild.exe
-- Kiss Me
100 way to kiss your GirlFriend or your boyfriend
Kiss.exe
-- Sexy Model
Did you ever see the sexy girls like her
Sexy.exe
-- Popeye Cartoon
The New Popeye New Cartoon NetWork
Popexe.exe
-- Olive & Popeye
Olive And Popeye Cartoon
Olive.exe
-- MyGirlFriend Dogs
Nice dog...
BullBull.exe
-- My Girl Friend' Dogs
Good Dog and Smart dogs
Moly.exe
-- Sweet Lovely
My Icq Friend Sweet and Lovely
Lovely.exe
-- Password
Here The list of Nude Password Website. All of them Still Active, and few of them are death
password
868879.exe
-- Need Help
Do you need help ? to get money over the internet. You can read the help
Help.exe
-- Bill
Bill..
BillGate
-- Mikropos
The New Mikropos Software From Mikropos Network
Mikropos
実行ファイル「\PCPower.exe」「\MyLinong.exe」に自分自身を複製し,VBSファイル「mylinong.vbs」をWindowsシステム・フォルダに書き込む。これらのファイルは次のレジストリ・キーから指定される。
HKEY_LOCAL_MACHINE\Software\Windows\Currentversion\Run
さらに上記のファイルのうち一つをWindowsシステム・ディレクトリに複製し,Outlookのアドレス帳に保存されているすべての宛先に複製を送りつける。その後,「Linong I Love U So Muc Linong For ever My LoveX」という名で501個のディレクトリを作成する。Xには0から500までの数字が入る。
VB Script「VBS/LoveLetter.CQ」をWindowsシステム・ディレクトリに保存し,さらに以下の4ファイルに複製する。
\mylinong.jpg.shs
\Kern32Lin.vbs
\Vbrun32DLL.vbs
\mylinong.jpg.vbs
そして,次のレジストリ・キーを設定する。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Kern32lLin \Kern32Lin.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
Vbrun32DLL \vbrun32DLL.vbsHKCU\Software\Microsoft\Internet Explorer\Main\Start Page\
http://www.thewebpost.com/lovepoems/1198/dpt112098ily.shtml
電子メールを介して,オリジナルの実行ファイルをOutlookのアドレス帳のすべての宛先に送りつける。
さらに,IPアドレスを生成して接続を試みる。ハード・ディスクが共有されていると,自身「linong.vbs」を別のパソコンのルート・フォルダやWindowsフォルダ,スタートアップ・フォルダに複製する。
ワームは1日おきに「I Love You Linong,You are the love of my love...」というメッセージを表示する。
Norman社は同社のWWWサイトにてさらに詳しい情報や駆除ファイルなどを提供している。
「小企業ではファイアウオールの設置などが十分でないところも多く,ハード・ディスクの共有などでもセキュリティ・ポリシーやリスク管理が甘くなりがちで侵入されやすい」(Norman社CEOのHenry Dugan氏)
◎関連記事
■英Kaspersky,ネット接続のパスワード盗むウイルス「Goga」を警告
■アンチウイルス・ベンダーがワーム「VBS.Mawanella」などを警告,危険度は「中」
■CAが消費者/小企業向けセキュリティ・サイト「my-eTrust.com」を開設
■「5月のウイルス検出数は9万件超で4月の倍,原因は『Homepage』」---米EasyLink
■英Sophosが5月のウイルス被害状況,“Homepage”がワースト1
[発表資料へ]