DBXファイル内に含まれる宛先すべてに自身を送信するウイルス「Lovelorn」

■URL
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_LOVELORN.A

　トレンドマイクロ株式会社は、「.DBX」ファイルにあるすべての宛先に自分自身を添付したメールを返信するウイルス「Lovelorn」を、ダメージ度や感染力を“高”として警告した。

　Lovelornは、ワームに分類される「トロイの木馬型」ウイルス。独自のSMTPを利用して「.DBX」ファイルにあるすべての宛先に自分自身を送信する上に、「BKAV」や「NAVA」という文字列を含むプロセスを終了するため、トレンドマイクロではダメージや感染力を高に設定し、警告している。

　実際に感染すると、「Windowsシステムフォルダ」内に自分自身のコピーとなる「EXPLORER.EXE」などを作成するほか、レジストリーを起動時に自分自身が自動的に実行されるように改変する。次に、独自SMTPエンジンを利用し、「.DBX」ファイルにあるすべての宛先に自分自身のコピーを添付したメールを送信する。その際に利用するメール内容は以下の通り。

差出人：以下の3種類からランダムで選択

• lovelorn@yahoo.com
• love_lorn@yahoo.com
• thuyquyen@yahoo.com

件名:以下の7種類からランダムで選択

• Re:baby!your friend send this file to you !
• Re:Get Password mail...
• Re:I Love You...OKE!
• Re:Kiss you..
• Re:Baby! 2000USD,Win this game...
• The Sexy story and 4 sexy picture of BINLADEN !
• Re:Binladen_Sexy.jpg

本文:以下の2種類からランダムで選択

• Enjoy! BINLADEN:SEXY..
• run File Attach to extract:BinladenSexy.jpg...

添付ファイル名:以下のどちらかが選択される

• %a.Kiss.ok.exe
• %a.htm

（%部分は、lovelorn、love_lorn、thuyguyenのいずれか）

　従って、上記のメールアドレスから送信されてきたメールや、件名・本文が同じ場合には、Lovelornである可能性が高いので、注意が必要だ。

　また、万が一感染している疑いのある場合には、ウイルス対策ソフトのスキャンにより発見したウイルスを削除した後に、レジストリーの修正を行なわなければならない。

(2003/5/1)

[Reported by otsu-j@impress.co.jp]