最終更新日:2002年 5月31日
更新履歴
「W32/Klez」ウイルスに関するFAQ情報
W32/Klezウイルスに関する相談・お問い合わせを数多く頂いております。
このウイルスに関するFAQのページを作成しましたので、ご参照ください。
6日発病:「W32/Klez」ウイルスに注意
6日に発病
Cドライブのファイルを削除!!
発病前に検査・駆除を!!
- このウイルスは、メールを開くだけで感染する可能性があります。
- Outlook Expressではプレビューしただけで感染する場合もあります。
- 感染しても自覚症状やウイルスメール送付先からの連絡がないなど感染兆候がないので、発病するまで気がつかないケースが多々あります。
「W32/Klez」ウイルスに関する追加情報
W32/Klez ウイルスを発見したユーザから、下記のような問い合わせが寄せられています。
- 「携帯電話からウイルスメールが送られてきたのですが。携帯電話にも感染するのでしょうか?」
- 「Macintosh を使っている友人からウイルスメールが届きました。Macintosh でも感染するのでしょうか?」
これらは、Klezウイルスが送信アドレスを偽装して、上記のアドレスから届いたように見せかけているものです。
Klezウイルスの送信アドレスには、実際に感染したユーザのアドレスが入ることはほとんどありません。
Klezウイルスは、登録アドレス帳や感染したパソコン内のhtmlファイルなどからアドレスを収集し、ウイルスメールを送信します。
ウイルスメールの送信者(From)欄には、収集したメールアドレスの中からランダムに選ばれたアドレスが記述されます。
したがって、携帯電話やMacintoshユーザのアドレスが感染したパソコンに存在すると、そのアドレスが送信者のアドレスとして使われることがあります。
Klezウイルスが、携帯電話、Macintoshに感染(動作)することはありません。
注)Macintoshで、このようなウイルスメールを受け取ったときは、決して他への転送を行わず、速やかに削除して下さい。
Windowsパソコンに転送してしまいますと、転送先で被害が出る場合があります。
「W32/Klez」ウイルスに関する情報
このウイルスは、InternetExplorer の既知のセキュリティホールを悪用したウイルスで、メールの添付ファイルを介して感染を拡げます。
このウイルスが添付されたメールを受け取ると、Outlook ではメールを開いただけで、Outlook Express ではプレビューしただけでも感染しますので、注意してください。
このウイルスは、オリジナルが2001年10月26日発見されていますが、2002年 1月には、現在流行している複数の亜種が出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。
影響を受けるコンピュータ
Windowsパーソナルコンピュータ
マイクロソフト社の InternetExplorer と Outlook/OutlookExpress を使用している場合は、特に注意が必要です。
予防策
ブラウザ(InternetExplorer)にパッチを適用する。:
InternetExplorer 5.01の場合、SP2 を適用する。
InternetExplorer 5.5 の場合、SP2 を適用する。
(パッチの適用方法については、マイクロソフト社のサイトでご確認ください。:マイクロソフト社 「ホームユーザー向けセキュリティ対策
早わかりガイド」のページ )
あるいは最新の InternetExplorer 6.0 をインストールする。(注:必ず、Outlook Expressを含む標準構成以上でセットアップすること。)
概要
このウイルスは、Windows32ビット環境(Windows95.98.ME.NT.2000.XP)で動作するウイルスで、感染すると、Outlookのアドレス帳に登録されている全てのアドレス宛にウイルスを添付したメールを送信します。送信者のアドレス欄には、ウイルスが作成した架空のアドレスが記載されます。送信されるメールの内容は次のとおりです。
- 件名:Hi 他
- 本文: Outlook、OutlookExpres 等 HTML 形式に対応しているメールソフトでは本文は空白に見えますが、HTML 形式のメール本文にコメント行として、以下の文字列が記載されています。
I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me? - 添付ファイル:ランダムなファイル名+.exe
2002年1月に出現した亜種のオリジナルとの主な変更点は下記の通りです。- 1)ウイルスメールの送信先アドレスを、感染したパソコン内の html ファイル等からも取得します。
- 2)送信メールの件名、本文、添付ファイル名が異なります。
件名:ランダムな英単語 ← 本文の一部が使われる場合がある。
本文:ランダムな英文 ← 複数の文章を組み合わせて作成される。
添付ファイル名:ランダムなファイル名+.bat、.exe、.pif、.scr - 3)WindowsのSystemフォルダに自分自身をWINK+[ランダムな文字列]+.EXEとしてコピーします。そして、Windowsが起動するたびにウイルスが実行されるようにレジストリの変更を行います。
- 4)共有しているネットワーク上にも自分自身をコピーし、感染を広げます。
作成されるファイル名は、ランダムな文字列+ランダムな拡張子+.exe、.rarになります。
例:ランダムな文字列+.doc.exe
拡張子が2重にならない可能性もあります。
例:ランダムな文字列 + .exe
また、毎月6日に発病し、C ドライブのデータを破壊しますので、感染の早期発見、発病前の駆除が急務です。
送信者について
W32/Klezウイルスの亜種は、収集したメールアドレスの中から1つのアドレスを選び、それを送信者(From)欄に記述してウイルスメールを送信します。
したがって、送信者(From)欄のアドレスの方は、感染していない場合が多く、ウイルスメールの送信者でないケースがほとんどです。
添付ファイルについて
W32/Klezウイルスの亜種は、感染したパソコン内の拡張子が.jpg または.htmファイルをランダムに選択し、ウイルスファイルと一緒にメールに添付して送信します。
ウイルスファイル1つだけが添付される場合もありますが、基本的には、送信するウイルスメールには、ウイルスファイルと、.jpg又は.htmの2つのファイルが添付されます。
修復に関する注意事項
感染してしまった場合の修復方法は、レジストリ等の修正が必要となります。
手動による修復方法は下記ワクチンベンダーのサイトに掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。
また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用してください。
下記サイトにも情報が掲載されているので、参照して下さい。
ワクチンソフトウェアベンダー提供の情報(日本語)
- シマンテック:
http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.a@mm.html
http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.e@mm.html
http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.h%40mm.html - ソフォス:
http://www.sophos.co.jp/virusinfo/analyses/w32klezb.html
http://www.sophos.co.jp/virusinfo/analyses/w32kleze.html - トレンドマイクロ:
http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_KLEZ.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_KLEZ.E
http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_KLEZ.G
http://www.trendmicro.co.jp/klez/ - 日本エフ・セキュア:
http://www.f-secure.co.jp/v-descs/v-descs2/klez.htm - 日本ネットワークアソシエイツ:
http://www.nai.com/japan/virusinfo/virK.asp?v=W32/Klez@MM
http://www.nai.com/japan/virusinfo/virK.asp?v=W32/Klez.e@MM
http://www.nai.com/japan/virusinfo/virK.asp?v=W32/Klez.h@MM
ウイルス対策のトップページはこちらをご覧ください。
更新履歴
2001年11月 9日 | 掲載 |
---|---|
2002年 1月 8日 | ワクチンベンダー情報へのリンク修正 |
2002年 2月26日 | 亜種に関する情報を追加 |
2002年 4月 2日 | 送信者、添付ファイルに関する情報を追加 |
2002年 4月16日 | ワクチンソフトウェアベンダー提供の情報へのリンクを追加 |
2002年 4月17日 | 更新情報の整理取りまとめ及び概要情報の追加 |
2002年 4月18日 | ワクチンソフトウェアベンダー提供の情報へのリンクを追加 |
2002年 4月24日 | アドレスの偽装に関する情報を追加 |
2002年 5月 2日 | 5月6日発病に関する情報を追加 |
2002年 5月 8日 | 感染兆候なく発病する危険性に関する情報を追加 |
2002年 5月31日 | W32/Klezに関するFAQページリンクを追加 |