* JPG, JPEG 파일 등에 바이러스가 겹쳐쓰기되고 VBS 확장자가 추가된다.
* 'ILOVEYOU'라는 제목의 인터넷 메일을 발송한다.
* 인터넷 익스플로러의 시작 홈 페이지를 about:blank로 변경한다.
내용 러브레터(VBS/Loveletter)는 외국산 스크립트 바이러스로, 2000년 5월 4일 처음 발견되었으며 국내에서도 같은 날 발견되었다. E-메일, IRC, HTML 문서의 액티브X 코드, 네트워크 등을 통해 유포되므로 지난해 4월 초 문제가 되었던 멜리사 바이러스가 최초 발견 3일 후 국내 유입되었던 것에 비해 전파 속도가 더 빠르다.
이 바이러스는 'ILOVEYOU'라는 제목의 인터넷 메일로 발송되는데, 'kindly check the attached LOVELETTER coming from me.'라는 내용과 함께 첨부 파일 LOVE-LETTER-FOR-YOU.TXT.vbs이 들어있다. 이 파일을 열면 바이러스에 감염되므로 열지 말고 바로 삭제해야 한다.
VBS/Love_Letter가 보내는 메일의 제목은 다음과 같다.
* ILOVEYOU
* Susitikim shi vakara kavos puodukui...
(Lithuanian오로 "Let's meet this evening for coffee" 란 뜻이라고 함).
* fwd: Joke
* Mothers Day Order Confirmation
* Dangerous Virus Warning
* Virus ALERT!!!
* Important! Read carefully!!
아웃룩이나 아웃룩 익스프레스를 사용할 경우 대량의 메일 트래픽으로 인해 메일 서버가 다운되는데, 메일 서버와 파일 서버, 웹 서버 등을 구분하지 않는 환경에서는 전체 네트워크가 마비되는 상황이 벌어진다.
파일의 확장자가 VBS, VBE인 경우 바이러스가 겹쳐쓰기되며 JS, JSE, CSS, WSH, SCT, HTA의 경우 바이러스로 겹쳐쓰기되고 확장자가 VBS로 바뀐다. 또한 JPG, JPEG 파일은 바이러스가 겹쳐쓰기되고 VBS 확장자가 추가된다.
그러나 MP3, MP2 파일은 숨김속성으로 변경되고 동일한 이름의 바이러스 파일을 생성한다. 예를 들면 love_letter.mp3 파일의 경우 love_letter.mp3 파일은 숨김속성으로 변경되고 love_letter.mp3.vbs 파일이 생성된다.
VBS(Visual Basic Script)로 작성되었으며 실행되면 윈도우 시스템 폴더(보통 C:\WINDOWS\SYSTEM)에 MSKernel32.vbs와 LOVE-LETTER-FOR-YOU.TXT를 복사하고 윈도우 폴더(보통 C:\WINDOWS)에 Win32DLL.vbs 등의 파일을 만든다.
그리고 레지스트리에 다음 두항목을 추가하여 윈도우가 부팅될 때마다 자동으로 실행하게 한다.
감염시킬 파일을 찾는 과정에서 MIRC32.EXE나 MLINK32.EXE MIRC.INI, SCRIPT.INI, MIRC.HLP 파일을 찾으면 그 폴더에 SCRIPT.INI(337바이트) 파일을 생성한다. 이후 mIRC(인터넷 채팅 프로그램)로 IRC(Internet Relay Chat. 인터넷을 통해 구축된 대화방) 채팅을 할 경우 LOVE-LETTER-FOR-YOU.HTM을 다른 사람에게 퍼뜨린다.
이 파일을 받은 사용자가 LOVE-LETTER-FOR-YOU.HTM을 익스플로러로 읽을 경우 "This HTML file need ActiveX control", "To Enable to read this HTML file - Please press YES button to Enable ActiveX"를 출력해 실행하도록 유도한다. 이때 "예"를 누르면 바이러스가 하드 디스크 및 네트워크로 퍼진다.
치료방법 V3Pro 2000 Deluxe로 치료하는 경우
수동검사/오른쪽마우스검사/시스템/인터넷감시 옵션에서 검사할 파일 형식을 모든 파일로 지정한 후 진단/치료하면 되며, 레지스트리까지 수정해 주므로 추가로 작업할 필요가 없다.
V3Pro 98이나 V3+NEO를 이용해서 치료할 경우
레지스트리를 아래와 같이 수정해 주어야 한다. V3Pro 98은 검사할때 모든 파일을 검사하도록 설정해 주어야 하며, V3+NEO는 /a 옵션을 주어 진단/치료해야 한다.
1. ALT+CTRL+DEL을 눌러 '프로그램 종료' 창에서 WScript가 실행되고 있으면 작업종료를 선택하여 실행을 중단한다.
2. 윈도우 바탕화면에서 시작→실행을 선택해 REGEDIT.EXE라고 입력한 후 다음과 같은 레지스트리 항목을 삭제한다.
3. 윈도우 폴더(보통 C:\WINDOWS)에서 Win32DLL.vbs를 삭제한다.
4. 윈도우 시스템 폴더(보통 C:\WINDOWS\SYSTEM)에서 MSKernel32.vbs, LOVE-LETTER-FOR-YOU.TXT.vbs, WinFAT32.exe 파일을 삭제한다.
* 아웃룩 주소록에 있는 주소로 감염된 파일이 첨부된 메일을 보낸다.
내용 VBS/Love_Letter.BD는 VBS/Contract,VBS_LOVELETTR.BD, VBS.LoveLetter.BD 등으로 불리는 외국산 스크립트 웜으로 2000년 8월 15일 발견되었다. 국내에는 아직 발견되지 않았다.
감염된 VBS 파일을 실행하면 스크립트가 실행되고 MS 아웃룩 (MS Outlook)을 이용해 아웃룩 주소록에 있는 주소로 첨부파일이 포함된 메일을 보낸다.
보내지는 메일의 제목과 내용은 다음과 같다.
제목 : Resume
내용 : 없음
첨부파일 : resume.txt.vbs
VBS 파일이 실행되면 메모장에 아래와 같은 내용이 출력된다.
"Knowledge Engineer, Z?ich
Intelligente Agenten im Internet sammeln Informationen,
erkl?en Sachverhalte im Customer Service, navigieren im Web,
beantworten Email Anfragen oder verkaufen Produkte.
Unsere Mandantin entwickelt und vermarktet solche
Software-Bots: State of the Art des modernen E-Commerce.
Auftraggeber sind f?rende Unternehmen, die besonderen Wert
auf ein effizientes Customer Care Management legen.
Das weltweit aktive, NASDAQ kotierte Unternehmen mit Sitz
in Boston braucht zur Verst?kung seines explosiv wachsenden
Teams in der Schweiz engagierte, hochmotivierte und kreative
Spezialisten. Kurz: Sie haben es in der Hand, die Knowledge
Facts f? aussergew?nliche L?ungen im Internet zu realisieren
und neue Schnittstellen zwischen Mensch und Datenautobahnen
zu schaffen. Das Tor zur Welt steht Ihnen offen.
Eine faszinierende Zukunft braucht Ihre Inspiration und
Ihr Know-how.... "
( 생 략 )
윈도우 시스템 폴더 (일반적으로 C:\Windows\System)에 RESUME.TXT.VBS 파일이 생성된다.
웜은 FTP 사이트에서 해킹 프로그램을 다운로드를 시도한다.
이 프로그램은 스위스의 UBS 은행의 온라인 뱅킹 소프트웨어가 설치되어 있을때 사용자 정보를 빼갈 수 있다. 하지만, 현재 이들 FTP에선 해킹 프로그램을 찾을 수 없다.
원형의 VBS/Love_Letter와는 달리 파일을 파괴하거나 mIRC용 웜을 설치하는 등의 증상은 없다.
치료방법 V3로 치료 가능합니다.
참고사항 윈도우98에서 Windows Scripting Host 제거하는 방법
VBS 파일을 사용하지 않는다면 다음과 같은 방법으로 VBS 파일이 실행되지 않게 할 수도 있다. 단, 주의할 점은 모든 VBS 파일이 실행되지 않는다.
"내컴퓨터" →"제어판" → "프로그램 추가/제거" →"Windows 설치" → "보조프로그램" →"Windows Scripting Host" 항목 제거
* 아웃룩이나 아웃룩 익스프레스를 사용할 경우 대량의 메일 트래픽으로 인해 메일 서버가 다운된다.
* JPG, JPEG 파일 등에 바이러스가 겹쳐쓰기되고 VBS 확장자가 추가된다.
* 인터넷 익스플로러의 시작 홈 페이지를 about:blank로 변경한다.
내용 러브레터(VBS/Love_Letter.C)는 외국산 스크립트 바이러스로, 2000년 5월 5일 국내에 유입되었는데 5월 16일부터 피해가 급증해 원형인 VBS/Love_Letter보다 피해가 더 많이 접수되는 상황이다.
원형이 "ILOVEYOU"의 제목으로 메일을 보내는 것에 비해 이 변형은 "fwd: Joke"라는 제목의 인터넷 메일로 발송되며 첨부 파일은 "Very Funny.vbs"이다. 이 파일을 열면 바이러스에 감염되므로 열지 말고 바로 삭제해야 한다.
아웃룩이나 아웃룩 익스프레스를 사용할 경우 대량의 메일 트래픽으로 인해 메일 서버가 다운되는데, 메일 서버와 파일 서버, 웹 서버 등을 구분하지 않는 환경에서는 전체 네트워크가 마비되는 상황이 벌어진다. 또한 일단 한 PC에 감염되면 전체 네트워크로 퍼지므로 네트워크 환경의 기업이나 단체에서는 공유 폴더를 막거나 암호화해 두고 서버에 매핑된 드라이브를 끊는 것이 전체 PC로 감염되는 것을 막을 수 있는 방법이다.
파일의 확장자가 VBS, VBE인 경우 바이러스가 겹쳐쓰기되며 JS, JSE, CSS, WSH, SCT, HTA의 경우 바이러스로 겹쳐쓰기되고 확장자가 VBS로 바뀐다. 또한 JPG, JPEG 파일은 바이러스가 겹쳐쓰기되고 VBS 확장자가 추가된다.
그러나 MP3, MP2 파일은 숨김속성으로 변경되고 동일한 이름의 바이러스 파일을 생성한다. 예를 들면 love_letter.mp3 파일의 경우 love_letter.mp3 파일은 숨김속성으로 변경되고 love_letter.mp3.vbs 파일이 생성된다.
VBS(Visual Basic Script)로 작성되었으며 실행되면 윈도우 시스템 폴더(보통 C:\WINDOWS\SYSTEM)에 MSKernel32.vbs와 Very Funny.vbs를 복사하고 윈도우 폴더(보통 C:\WINDOWS)에 Win32DLL.vbs 등의 파일을 만든다.
그리고 레지스트리에 다음 두 항목을 추가하여 윈도우가 부팅될 때마다 자동으로 실행하게 한다.
감염시킬 파일을 찾는 과정에서 MIRC32.EXE나 MLINK32.EXE MIRC.INI, SCRIPT.INI, MIRC.HLP 파일을 찾으면 그 폴더에 SCRIPT.INI(328바이트) 파일을 생성한다.
이후 mIRC(인터넷 채팅 프로그램)로 IRC(Internet Relay Chat. 인터넷을 통해 구축된 대화방) 채팅을 할 경우 Very Funny.HTM을 다른 사람에게 퍼뜨린다.
이 파일을 받은 사용자가 Very Funny.HTM을 익스플로러로 읽을 경우 "This HTML file need ActiveX control", "To Enable to read this HTML file - Please press YES button to Enable ActiveX"를 출력해 실행하도록 유도한다. 이 "예"를 누르면 바이러스가 하드 디스크 및 네트워크로 퍼진다.
치료방법 V3로 치료 가능합니다.
* Explorer 의 시작 홈페이지가 http://www.vije.it 로 바뀐다.
* 아웃룩 주소록에 있는 주소로 감염된 파일이 첨부된 메일을 보낸다.
내용 전파 경로
아래와 같은 제목의 메일에 첨부된 파일을 통해 확산된다.
제목 : C'e una cartolina per te!
내용 : Ciao, un tuo amico ti ha spedito una cartolina
virtuale... mooolto particolare!
첨부파일 : Cartolina.vbs (보통 2070 바이트)
위와 같은 메일이 오면 삭제해야 한다.
자세한 정보
VBS/Love_Letter.CD는 I-Worm.Jer ( Kaspersky ),VBS_CARTOLINA.A ( 트렌드 ), VBS.LoveLetter.Variant (시만텍),VBS/LoveLetter@MM ( 맥아피 ) 등으로 불리는 스크립트 웜으로 2001년 2월 7일 발견되었으며 이탈리아에서 제작된 것으로 추정된다. 유럽지역에 감염 사례가 보고되었지만 국내엔 아직 발견되지 않았다.
V3 제품군에선 2001년 2월 14일자 엔진 부터 정확한 이름으로 진단하고 이전 V3 엔진에서는 VBS/Love_Letter의 변형인 VBS/Love_Letter.Variant로 진단하므로 구 엔진에서도 이 웜을 예방할 수 있다.
메일로 첨부된 스크립트 파일을 실행하면 윈도우 시스템 폴더에 ( 일반적으로 C:\Windows\System ) "Cartolina.vbs" 파일을 생성한다.
치료방법 V3로 치료 가능합니다.
* 아웃룩 주소록에 있는 주소로 감염된 파일이 첨부된 메일을 보낸다.
* JPG, JPEG 파일 등에 바이러스가 겹쳐쓰기되고 VBS 확장자가 추가되며,DOC 확장자도 파괴한다.
내용 VBS/Love_Letter.S 바이러스는 VBS.LoveLetter.Kitty로도 불리는 외국산 VBS (Visual Basic Script) 바이러스로 일본에서 제작된 것으로 추정된다. 국내에선 2000년 7월 3일 처음 발견되었다.
감염된 VBS 파일을 실행하면 스크립트가 실행되고 MS 아웃룩 ( MS Outlook)을 이용해 아웃룩 주소록에 있는 주소로 첨부파일이 포함된 메일을 보낸다.
보내지는 메일의 제목과 내용은 다음과 같다.
제목 : Hello Kitty
내용 : About Hello Kitty latest News in JAPAN.
See the attached document.
첨부파일 : Hello-Kitty.TXT.vbs
윈도우 폴더에( 일반적으로 C:\WINDOWS ) 'WinPower.vbs'가 윈도우 시스템 폴더에 ( 일반적으로 C:\WINDOWS\SYSTEM ) 'Snoopy.vbs', 'Hello-Kitty.TXT.vbs'가 생성된다.
그리고 레지스트리에 다음 두항목을 추가하여 윈도우가 부팅될 때마다 자동으로 실행하게 한다.
아웃룩이나 아웃룩 익스프레스를 사용할 경우 대량의 메일 트래픽으로 인해 메일 서버가 다운되는데, 메일 서버와 파일 서버, 웹 서버 등을 구분하지 않는 환경에서는 전체 네트워크가 마비되는 상황이 벌어진다.
파일의 확장자가 VBS, VBE인 경우 바이러스가 겹쳐쓰기되며 JS, JSE, CSS, WSH, SCT, HTA, DOC의 경우 바이러스로 겹쳐쓰기되고 확장자가 VBS로 바뀐다. 또한 JPG, JPEG 파일은 바이러스가 겹쳐쓰기되고 VBS 확장자가 추가된다. 이 변형은 DOC 확장자도 파괴하므로 사용자가 만든 워드 문서의 내용도 바이러스로 겹쳐써져 파괴된다.
그러나 MP3, MP2 파일은 숨김속성으로 변경되고 동일한 이름의 바이러스 파일을 생성한다. 예를 들면 love_letter.mp3 파일의 경우 love_letter.mp3 파일은 숨김속성으로 변경되고 love_letter.mp3.vbs 파일이 생성된다.
감염시킬 파일을 찾는 과정에서 MIRC32.EXE나 MLINK32.EXE, MIRC.INI, SCRIPT.INI, MIRC.HLP 파일을 찾으면 그 폴더에SCRIPT.INI 파일을 생성한다.
이후 mIRC(인터넷 채팅 프로그램)로 IRC(Internet Relay Chat 인터넷을 통해 구축된 대화방) 채팅을 할 경우 'Hello-Kitty.HTM' 파일을 다른 사람에게 퍼뜨린다.
치료방법 V3로 치료 가능합니다.
* JPG, JPEG 파일 등에 바이러스가 겹쳐쓰기되고 VBS 확장자가 추가된다.
* 매년 9월17일이 되면, 메시지와 함께 E~Z 드라이브까지 모든 네트워크 드라이브의 맵핑를 해제한다.
* 레지스트리의 내용을 변경한다.
내용 VBS/Love_Letter.Z는 VBS/Love_Letter.BJ, VBS/Colombia, VBS/Love_Letter.Worm 등으로 불리는 외국산 스크립트 바이러스로, 콜롬비아에서 제작된 것으로 추정된다. A형과 B형이 있으며 증상은 모두 동일하다.
감염된 VBS 파일을 실행하면 스크립트가 실행되고 MS 아웃룩 (MS Outlook)을 이용해 아웃룩 주소록에 있는 주소로 첨부 파일이 포함된 메일을 보낸다.
발송되는 메일의 제목과 내용은 다음과 같다.
제목 : US PRESIDENT AND FBI SECRETS =PLEASE VISIT →(http://WWW.2600.COM) ←
내용 : VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES..
첨부파일 : 임의로 만들어낸파일.확장자.VBS
첨부된 VBS 파일을 실행하면, 윈도우 폴더(일반적으로 c:\windows)에 reload.vbs를, 윈도우 시스템 폴더(일반적으로 :\windows\system)에 LINUX32.VBS 파일과 메일에 첨부되었던 임의로 만들어진 파일이 복사된다.
그리고 레지스트리에 다음 두 항목을 추가하여 윈도우가 부팅될 때마다 자동으로 실행하게 한다.