トップセキュリティについて『ウィルス』について>『Klez.H』について

『Klez.H』について

更新:2002年4月19日
5月1日

区切り線

● Klez.H(旧Klez.G)
2002年4月17日に発見された「Klez(クレズ)」の亜種「Klez.H」が流行っているようです。

と書いたのは4月19日でしたが、4月30日についにやってきました。
皆さんもお気をつけ下さい。

メールのタイトル、本文、添付ファイルの内容はランダムに作成されてくるので必ずしもこの内容ではありませんが、とりあえず私の所に来たメールを記述しておきます。ただ、ウイルスバスターではKlez.G(4月30日以降のウイルス定義ファイルではKlez.H)と検出されたのですが、タイトルが正しく(?笑)入っていないので、もしかしたら他の亜種かもしれません。

タイトル 屹癶躪些 MIME-Version: 1.0
本文 へお問い合わせ下さい
添付ファイル  をご.scr
SUPPORT.TXT

以下の「症状」「感染経路」でも説明していますが、添付ファイルの『をご.scr』はウイルスファイルで、『SUPPORT.TXT』はハードディスクから任意に取得されたファイルです。今回は「Windows Millennium Edition OEM サポートファイル」がふたつめのファイルとして添付されてきました。

尚、このウィルスが感染するのはWindowsのパソコンのみで、他に感染することはありません。

●症状

1.ウィルス添付メールの大量送信
Windowsのアドレス帳やパソコン内に保存されている各種ファイル(閲覧したWebページの履歴等)からメールアドレスを探し出し、自分自身(ウィルス)をコピーしたファイルを添付して勝手にEメールを送信します。

2.秘密情報の漏洩
ウィルスファイル以外にもハードディスク内部のファイルをひとつ抜き出しEメールに添付する場合があります。もしこのファイルに重要な情報が格納されていた場合は外部に流出してしまいます。

3.アンチウィルスソフトの無力化
アンチウィルスソフトの特定ファイルを停止、及び削除することにより、アンチウィルスソフトを無力化します。
これにより、一度感染してしまうとアンチウィルスソフトのインストールも出来なくなります。

●感染経路

1.Eメールの添付ファイル
送信元にもWindowsのアドレス帳や閲覧したWebページから取り込んだメールアドレスを設定(差出人を偽装)することがあるので、差出人欄のメールアドレスの人が感染しているとは限りません。

冒頭に一例を挙げましたが、このようなメールが送られてきます。

タイトル ウイルスが内部に持っているタイトル候補から任意に作成
(「Symantec」「Mcafee」「Trendmicro」等のアンチウィルスソフト企業の名前も含まれることがあるので注意が必要です)
本文 任意に作成
添付ファイル  1.任意のファイル名を持ったウィルスファイル。
2.ハードディスクから任意に取得したファイル。
差出人 感染コンピュータ内部の各ファイルから任意に設定

2.ネットワーク
LAN等では、読み書きが可能な共有ディレクトリを探して任意のファイル名で自分自身のコピーを作成します。

●予防策

1.添付ファイルを実行しない
メールの添付ファイルをダブルクリック(Windowsをシングルクリックの設定に変更している場合は、シングルクリック)して実行すると感染します。

2.IE(Internet Explorer)のヴァージョンアップ
Outlook Express(以下OE)のセキュリティホールを突いてきますので、古いOEでプレビュー機能をオンにしたままだと、メールの添付ファイルを実行しなくてもプレビューしただけで感染します。
IEを使用されている方は最新のVer.6にするか、IE5.01、IE5.5ならばSP2(サービスパック2)にヴァージョンアップして下さい。これはマイクロソフトのサイトからダウンロード出来ます。
http://www.microsoft.com/japan/ie/

3.セキュリティホールの修復
「Windows Update」を使ってWindows及びIEを最新状態にしてください。
やり方は、スタートメニューの「Windows Update」を起動し、手順に沿って実行するだけです。

4.メールソフトの変更
OEのセキュリティホールを突いてくることから、OE以外のメールソフトに変更することも有効です。
私の場合はネスケ6.2.2のメーラーも使っていますが(現在はNetscape7.1を使用)、Klez.Hで作成された添付ファイルは認識さえもしませんでした。(OEを対象として作成されたウィルスは、他のメーラーでは認識できないものも多いようです)

5.アンチウィルスソフトの導入
アンチウィルスソフトを導入*1)し、ウィルス定義ファイルを最新のものにして下さい。
ウィルス定義ファイルを最新のものに更新していないと、ウィルスを検出せずに感染する危険性が高くなります。
ウィルス対策は自分だけの問題ではありません、自分が感染することで他人もウィルスの被害に巻き込むかもしれないのです。アンチウィルスソフトの導入は基本的なマナーだと思ってください。

●感染してるかどうかの確認方法

アンチウィルスソフトを導入していない方で感染しているかどうかを調べたい場合は、トレンドマイクロのサイトからオンライン検索できます。(駆除は出来ません)
http://www.trendmicro.co.jp/hcall/index.asp

●感染したら

1.ネットワークからの隔離
パソコンを電話回線でつないでいる方は電話線を、ケーブルテレビでつないでいる方はケーブルテレビのネット用回線を、LANにつないでいる方はLANケーブルをパソコンから引き抜いてください。そうしないと大量にウィルスメールをばらまくことになります。

2.ウィルスを送ってしまったと思われる方々にお知らせとお詫びの連絡を入れる
言うまでもないことですが、感染している状態でメールを使わないでください。

3.駆除ツールによる修復
もし感染してしまった場合は、トレンドマイクロのサイトから駆除ツールのダウンロードが出来ます。(できれば、感染していないパソコンを使ってダウンロードしてください)
http://www.trendmicro.co.jp/klez/tool.asp

●参考資料

1.IPAセキュリティセンター
  ・「W32/Klez」ウイルスに関する追加情報
   http://www.ipa.go.jp/security/topics/newvirus/klez.html

2.TREND MICRO
  ・WORM_KLEZ.H
   http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.H

3.Symantec
  ・W32.Klez.H@mm
   http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.h%40mm.html

4.McAfee
  ・W32/Klez.h@MM
   http://www.nai.com/japan/virusinfo/virK.asp?v=W32/Klez.h@MM


*1)アンチウィルスソフト

アンチウィルスソフトとは、パソコン内でウィルスを監視し、感染させないようにしたり、感染したファイルの修復等(全てのウィルスに対して行えるわけではありません)を行うソフトウェアです。

パソコンショップ等で製品版を買うか、オンラインショップでの購入になります。オンラインショップの場合パッケージが無い分だけ安く購入することが出来ます。(製品版の75%前後の値段)
主な製品としては、以下の4つがあります。
・シマンテックの「Norton AntiVirus」
・トレンドマイクロの「ウイルスバスター」
・ソースネクストの「McAfee.comウイルススキャンオンライン」
・NECインターチャネルの「ウイルス警備隊V3」

・シマンテック製品取り扱いオンラインショップ
http://www.symantec.com/region/jp/ec/ec.html

・トレンドマイクロ製品ダウンロード販売
http://www.trendmicro.co.jp/online/dl_what.asp

・マカフィーダウンロード販売
http://www.sourcenext.com/mcafee/

・ウィルス警備隊V3
http://www.neic.co.jp/pc/x5PRODUCTS/tool/keibi/

呼び元に戻る