Email-Worm.VBS.LoveLetter

技術的な詳細

これは、2000年5月の初めにグローバルな流行を引き起こしたインターネットワームです。このワームは、影響を受けるコンピュータから感染したメッセージを送信することによって電子メールで広がります。ワームは拡散中にMS Outlookを使用し、MS Outlookアドレス帳に格納されているすべてのアドレスに自身を送信します。その結果、感染したコンピュータは、MS Outlookの連絡先リストに保持されている数のアドレスに多くのメッセージを送信します。

このワームは、スクリプト言語「Visual Basic Sc​​ript」（VBS）で記述されています。これは、Windows Scripting Host（WSH）がインストールされているコンピュータでのみ動作します。 Windows 98およびWindows 2000では、WHSはデフォルトでインストールされます。自身を広めるため、ワームはMS Outlookにアクセスし、その機能とアドレスリストをOutlook 98/2000のみで使用するため、これらのMS Oulookバージョンのいずれかがインストールされている場合にのみ感染を広げることができます。

ワームは実行時に、電子メールでそのコピーを送信し、システムに自身をインストールし、破壊的な処理を実行し、トロイの木馬プログラムをダウンロードしてインストールします。ワームは、mIRCチャネルを介して拡散する機能も備えています。

ワームは "著作権"文字列を含んでいます：

barok -loveletter（vbe）<私は学校に行くのが嫌い>
by：spyder / ispyder@mail.com / @GRAMMERSoft Group /マニラ、フィリピン

広がる

ワームは、ワーム自体であるVBSファイルが添付された電子メールメッセージとしてコンピュータに到着します。元のワームバージョンのメッセージは次のとおりです。

 テーマ：ILOVEYOU 

 メッセージ本文：私から来た添付のLOVELETTERを親切にチェックしてください。 

 添付ファイル名：LOVE-LETTER-FOR-YOU.TXT.vbs

ワームはMS Outlookを開き、アドレス帳にアクセスし、そこからすべてのアドレスを取得し、添付されたコピーを含むメッセージをすべてのユーザーに送信します（添付ファイルをダブルクリックすることにより）。メッセージの件名、本文、添付ファイル名は上記と同じです。

ワームは、自身をシステムにインストールします。 Windowsのディレクトリに以下の名前のコピーを作成します。

 Windowsディレクトリ：WIN32DLL.VBS
 
 Windowsシステムディレクトリ：MSKERNEL32.VBS、LOVE-LETTER-FOR-YOU.TXT.VBS

これらのファイルは、システムレジストリのWindows自動実行セクションに登録されます。

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS

その結果、Windowsが起動するたびにワームは再起動されます。

ワームはまた、WindowsシステムディレクトリにHTMドロッパーを作成し、mIRCチャネルに広がりながら使用します（以下を参照）。このコピーの名前は次のとおりです。

LOVE-LETTER-FOR-YOU.TXT.HTM

トロイの木馬ファイルのダウンロード

トロイの木馬プログラムをシステムにインストールするために、ワームはURLをInternet Explorerの開始ページに変更します。新しいURLはWebサイト（4つの変種の中からランダムに選択されたもの）を指し、エクスプローラがそこからEXEファイルをダウンロードするように強制します。そのファイルはWIN-BUGSFIX.EXEという名前を持ち、トロイの木馬プログラムです。次に、このファイルをシステムレジストリに自動実行セクションに登録します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX = WIN-BUGSFIX.exe

次回の実行時に、Internet Exlorerはトロイの木馬をダウンロードし、システムのダウンロードディレクトリに保存します。次のWindows起動時に、このトロイの木馬は制御を取得し、WINFAT32.EXEという名前でWindowsシステムディレクトリに自身をコピーします。

トロイの木馬がシステムにインストールされると、ワームはInternet Explorerの開始ページを空白に設定します（ "about：blank"）。

ダウンロードおよびインストールされたファイルは、パスワードを盗むトロイの木馬です。ローカルマシン名とIPアドレス、ネットワークログイン名とパスワード、RAS情報などを取得し、トロイの木馬ホストに送信します。分析されたサンプルは "mailme@super.net.ph"にメッセージを送信し、メッセージの件名は次のようになります。

Barok … email.passwords.sender.trojan

IRCチャンネルへの広がり

ワームはローカルドライブをスキャンし、ファイルを探します：

MIRC32.EXE、MLINK32.EXE、MIRC.INI、SCRIPT.INI、MIRC.HLP

これらのファイルの少なくとも1つがサブディレクトリにある場合、ワームは新しいSCRIPT.INIファイルをそこにドロップします。このファイルには、感染したIRCチャンネルに参加するすべてのユーザーにワームコピー（LOVE-LETTER-FOR-YOU.TXT.HTMファイル）を送信するmIRC命令が含まれています。

SCRIPT.INIファイルにコメントが含まれています。

mIRCスクリプト
このスクリプトを編集しないでください… mIRCが壊れてしまいます。
破損しています… WINDOWSは正しく動作し、正常に動作しません。ありがとう

Khaled Mardam-Bey
http://www.mirc.com

IRCユーザーが感染したHTMLを受信すると、IRCダウンロードディレクトリにコピーされます。ワームは、ユーザーがそのファイルをクリックした場合にのみ、そのファイルからアクティブになります。ブラウザのセキュリティ設定では、スクリプトがディスクファイルにアクセスして警告メッセージを表示することができないため、ワームはこれを避けるためにトリックを使います。まず、ユーザーをだますメッセージを表示します。

このHTMLファイルにはActiveXコントロールが必要です
このHTMLファイルの読み取りを有効にするには
– ActiveXを有効にするには「はい」ボタンを押してください

ユーザーが実際に「はい」をクリックした場合、ワームはディスクファイルにアクセスし、自身をシステムにインストールします。 VBSコードをMSKERNEL32.VBS名のWindowsシステムディレクトリにドロップし、システムレジストリのWindows自動実行セクションに登録します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS

「NO」が選択された場合、ワームはマウスの動きとキー入力イベントを傍受し、それ自身をリロードします。その結果、ユーザは、「はい」を押すまで無限ループで警告メッセージを受信する。

破壊的な行動

ワームは利用可能なすべてのローカルドライブとマップされたドライブのサブディレクトリツリーをスキャンし、そこにすべてのファイルをリストアップし、ファイル名の拡張子に応じてアクションを実行します。

• VBS、VBE：これらのファイルをVBS本体で上書きします。その結果、システム内のすべてのVBSおよびVBEプログラムがワームコードで上書きされます。
• JS、JSE、CSS、WSH、SCT、HTA：ワームは元のファイル名に ".VBS"エクステンションを加えた新しいファイルを作成し、元のファイルを削除します。つまり、これらのファイルをコードで上書きし、VBS拡張子で名前を変更します。たとえば、「TEST.JS」は「TEST.VBS」になります。
• JPG、JPEG：ワームは上記と同じですが、完全なファイル名に ".VBS"拡張子を付け加えます（ ".VBS"に名前変更しません）。たとえば、「PIC1.JPG」は「PIC1.JPG.VBS」になります。
• MP2、MP3：ワームは ".VBS"拡張子（ "SONG.MP2"の場合、 "SONG.MP2.VBS"ファイルを作成します）の新しいファイルを作成し、そこにコードを書き込み、ファイル属性を "元のファイルの場合は「非表示」になります。

その他の変形

ワーム自体はテキストスクリプトプログラムであり、テキストソース形式で配布されています。ワームのコードは、ハッカーによって簡単に変更される可能性があり、その結果、元のワームには多くの亜種が存在します。それらのほとんどはマイナーなリメイクであり、オリジナルのワームとはちょっと違っています。メッセージフィールドのテキスト、ファイル名、影響を受けるディスクファイルの拡張子（.BATや.INIなど）が異なります。

件名、メッセージ本文、および添付ファイル名は、以下のとおりです（最初のブロックは元のワームのバージョンに属します）。

 件名/本文/添付名

 わたしは、あなたを愛しています
   私から来た添付のLOVELETTERを親切にチェックしてください。
 LOVE-LETTER-FOR-YOU.TXT.vbs

 母の日の注文の確認
   お客様のクレジットカードに326.92ドルの請求を行いました
   母の日のための特別なダイヤモンド。私たちは詳細な
   このメールへの請求書。添付ファイルを印刷して添付してください
   ハッピーマザーズの日をもう一度ありがとう！
   mothersday@subdimension.com
 mothersday.vbs

 fwd：ジョーク
    - メッセージ内にメッセージ本文がありません
 非常にFunny.vbs

 Susitikim shi vakara kavos puodukui ...
   私から来た添付のLOVELETTERを親切にチェックしてください。
 LOVE-LETTER-FOR-YOU.TXT.vbs

 重要！慎重に読む ！！
   私から来ている添付の重要なものをチェックしてください！
 IMPORTANT.TXT.vbs

 危険なウイルスの警告
   危険なウイルスが循環しています。
   添付写真をクリックしてご覧になり、避けてください。
 virus_warning.jpg.vbs

 IL0VEY0Uのバグからあなたを守る方法！
   愛のウイルスを修正する簡単な方法はここにあります。
 ウイルス対策 -  Instructions.vbs

 アラブ航空と一緒に飛んでくれてありがとう
   添付ファイルを開いて請求書が正しいかどうか確認してください。
 ArabAir.TXT.vbs

 Bewerbung Kreolina
   ダーメンとヘレンと一緒に！
 BEWERBUNG.TXT.vbs

 ルック！
   hehe ...これをチェックしてください。
 LOOK.vbs

 バリアントテスト
   これはvbsウイルスの亜種です。
 IMPORTANT.TXT.vbs

 ええ、死の別の時間...
   これはVBS.LOVE-LETTER.WORMのキラーです。
 Vir-Killer.vbs

 私は信じてこれを信じて！
   私は信じています私はちょうどこの憎しみを受け取ったことがあります電子メール..見てみましょう！
 KillEmAll.TXT.vbs

 LOVEBUGアップデートアンチウイルスの新しいバリエーション!!
   今や愛バグの新しい変種があります。それはで解放された
   午後8時37分土曜日の夜。パッチをダウンロードしてください。
   私たちはこのウイルスを分離しようとしています。 Symantecに感謝します。
 antivirusupdate.vbs

 重要：公式ウイルスとバグ修正
   これは公式のウイルスとバグ修正です。私はシステム管理者から入手しました。
   システムファイルを実行した後、システムファイルを更新するのに少し時間がかかる場合があります
   添付ファイル。
 バグとウイルスfix.vbs

 最近のウイルス攻撃 - 修正
   添付されたスクリプトのコピーは、
   LOVE-LETTER-TO-YOU.TXT.vbsとFW：JOKE、
   母の日とリトアニアの兄弟。
 BAND-AID.DOC.vbs

 プレゼンテーション
   グランデは声を出して、それ以外は忘れないでください。
   彼等と一緒にアネックス。
   http://www.uol.com.br
 UOL.TXT.vbs

 バグとウイルスの修正
   私はシステム管理者からこれを手に入れました。これを実行すると最近の
   将来のバグとウイルス攻撃。ファイルを更新するのに少し時間がかかることがあります。
 主要なバグとウイルスFIX.vbs
無料のSEXSITE PASSWORDS
   見てみな ;無料のSEXサイトのパスワード。
 無料のSEXSITE PASSWORDS.HTML.vbs

 あなたは$ 1,000,000を獲得するかもしれません！ 1 [アウェイ]をクリック
   親切にも、私から来る添付のWINをチェックしてください。
 WIN.vbs

 ウイルスの警告!!!
   非常に重要ですこのテキストをお読みください。テキストアタッチメント。
 非常に重要なtxt.vbs

 ウイルスに感染する方法
   親切に、私から来た添付のウイルス情報をチェックしてください。
   これはどのようなウイルスに対しても免疫ができる方法です。それは本当に多くを助ける！
 HOW_TO_BEAT_VIRUSES.TXT.vbs

あなたはこれを読む必要があります！
   あなたはこのテキストを読んだことがありますか？あなたはそれをしなければならない！！
 C：NOTES.TXT.exe

新しいウイルスが発見されました！
   新しいウイルスが発見されました！名前は@  -  @ AlhaとOmega @  -  @です。
   ウィルス能力の全リストは添付ファイル@  -  @ info.txt @  -  @に含まれています。
   最後の情報は、McAfeeのWebページを参照してください。
   気になる人にこのメッセージを転送してください。
 info.txt.vbs

 あなたがここにいたらいいのにと思う！
   あなたがここにいたらいいのにと思う！素晴らしい時を過ごせています！
 あなたがここにいて欲しいです！.postcard.vbs