PR

 米Norman Data Defense Systemsが米国時間6月28日に,電子メール・ワーム(e-mail worm)とネットワーク・クローラ(network crawler)がペアとなった「W32/Linong.A@mm」「VBS/LoveLetter.CQ@mm」を検出したとして警告を発した。危険度の評価は「高」。

 ワーム「W32/Linong.A@mm」「VBS/LoveLetter.CQ@mm」は,ユーザーのシステムに侵入して悪意のある悪戯コードを書き込む。Outlookや共有ハード・ディスクなどを通して拡散,WWWにも広がっている。主に小企業やSOHO,個人ユーザーのパソコンに感染する。感染するとMS Exchange Serverがクラッシュする可能性もあるという。

 ワームが送りつけられる電子メールの題名や本文,添付ファイル名は様々で,これまでに確認されているものには以下がある。


-- One of this mail,
True Story ...
mylinong.exe

-- Info From CFusion,
You can update your CFusion Online For Free,
CFusion.exe

-- Patch Your CFusion,
Are You Ready Fix Your CFusion, Please Update
PatchFusion.exe

-- Still Remember You,
She is MY sexy Linong,
MyLinong.exe

-- Light Up The Night,
Light up The Night PARTY...,
Light up the night.exe

-- Man Choice, Are You Man or women. This is The sponsor from our site The man choice
StarMild.exe

-- Kiss Me
100 way to kiss your GirlFriend or your boyfriend
Kiss.exe

-- Sexy Model
Did you ever see the sexy girls like her
Sexy.exe

-- Popeye Cartoon
The New Popeye New Cartoon NetWork
Popexe.exe

-- Olive & Popeye
Olive And Popeye Cartoon
Olive.exe

-- MyGirlFriend Dogs
Nice dog...
BullBull.exe

-- My Girl Friend' Dogs
Good Dog and Smart dogs
Moly.exe

-- Sweet Lovely
My Icq Friend Sweet and Lovely
Lovely.exe

-- Password
Here The list of Nude Password Website. All of them Still Active, and few of them are death
password
868879.exe

-- Need Help
Do you need help ? to get money over the internet. You can read the help
Help.exe

-- Bill
Bill..
BillGate

-- Mikropos
The New Mikropos Software From Mikropos Network
Mikropos

 実行ファイル「\PCPower.exe」「\MyLinong.exe」に自分自身を複製し,VBSファイル「mylinong.vbs」をWindowsシステム・フォルダに書き込む。これらのファイルは次のレジストリ・キーから指定される。

HKEY_LOCAL_MACHINE\Software\Windows\Currentversion\Run

 さらに上記のファイルのうち一つをWindowsシステム・ディレクトリに複製し,Outlookのアドレス帳に保存されているすべての宛先に複製を送りつける。その後,「Linong I Love U So Muc Linong For ever My LoveX」という名で501個のディレクトリを作成する。Xには0から500までの数字が入る。

VB Script「VBS/LoveLetter.CQ」をWindowsシステム・ディレクトリに保存し,さらに以下の4ファイルに複製する。


\mylinong.jpg.shs
\Kern32Lin.vbs
\Vbrun32DLL.vbs
\mylinong.jpg.vbs

 そして,次のレジストリ・キーを設定する。



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Kern32lLin \Kern32Lin.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
Vbrun32DLL \vbrun32DLL.vbs

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page\
http://www.thewebpost.com/lovepoems/1198/dpt112098ily.shtml

 電子メールを介して,オリジナルの実行ファイルをOutlookのアドレス帳のすべての宛先に送りつける。

 さらに,IPアドレスを生成して接続を試みる。ハード・ディスクが共有されていると,自身「linong.vbs」を別のパソコンのルート・フォルダやWindowsフォルダ,スタートアップ・フォルダに複製する。

 ワームは1日おきに「I Love You Linong,You are the love of my love...」というメッセージを表示する。

 Norman社は同社のWWWサイトにてさらに詳しい情報や駆除ファイルなどを提供している。

 「小企業ではファイアウオールの設置などが十分でないところも多く,ハード・ディスクの共有などでもセキュリティ・ポリシーやリスク管理が甘くなりがちで侵入されやすい」(Norman社CEOのHenry Dugan氏)

◎関連記事
英Kaspersky,ネット接続のパスワード盗むウイルス「Goga」を警告
アンチウイルス・ベンダーがワーム「VBS.Mawanella」などを警告,危険度は「中」
CAが消費者/小企業向けセキュリティ・サイト「my-eTrust.com」を開設
「5月のウイルス検出数は9万件超で4月の倍,原因は『Homepage』」---米EasyLink
英Sophosが5月のウイルス被害状況,“Homepage”がワースト1

発表資料へ]