W32.Klez.H@mm

VIRUS REPORT

仕事場のデータをあさっていると、ノートン先生が W32.Klez.H@mm を発見なさいましたとさ…。


特徴

大量のメールを送信するワームだそうです。ちまたではもはや流行となった、Internet Explorer の虚弱性に漬け込んで、添付ファイルを開かなくても実行させるタイプの電子メールワームです。

ので、Internet Explorer 5.0SP2 / 5.5SP2 / 6 など、対策の取れていないブラウザ機能を使ってメールを開いていしまうと、そく感染してしまうそうです。

 

送付先のメールアドレスは、Outlook などのメールソフトの他、ある特定の拡張子のファイルを調べてメールアドレスを取得します。

そして To: のみならず From: にも、見つけたアドレスからランダムに選び出して使用するそうなので、思わぬ濡れ衣を着せられることもありそうで怖いですね。

 

対策を講じていない IE の場合は、無意識のうちに実行されてしまうし、差出人のメールアドレスも偽装されてしまうため、なかなか差出人を特定するのも面倒そうです。

Windows NT 系のネットワークドライブへの感染で、さらにユーザごとにログオンアカウントが作成されていれば、ファイルの所有者から、そのファイルが誰から飛び火したかはわかるみたいです。

 

影響範囲

Windows 系の OS に感染します。比較的最新の Internet Explorer でやられてしまうので、Windows XP でもインストールしていなければ、電子メールを利用する誰もが対策をしなくてはなりません。

Internet Explorer 5.5 系ならば SP2 以上、Internet Explorer 5.0 系も SP2 以上、Internet Explorer 6.0 の場合はフルインストールを行っていないとやられてしまいます。

 

感染経路

送られてきた電子メールを、プレビューするか、添付ファイルを実行することで発症します。 また、ネットワークドライブにちりばめられた複製を実行することによっても感染するそうです。

 

症状

このウィルスが実行されると、アドレス帳のエントリに対して、同様のウィルスメールが送付されます。

その他にも MP8, EXE, SCR, PIF, BAT, TXT, HTM, HTML. WAB, DOC, XLS, CPP, C, PAS, MPQ, MPEG, BAK, MP3 といった拡張子の中身からもメールアドレスを取得しようとします。

その際、困ったことに、送信元のアドレスも、無作為に抽出したメールアドレスの中から選ばれるそうです。ということは、反感を買って思わぬ苦情等がきたり、場合によっては喧嘩の種にもなりかねません。

 

また、感染の際に、ウィルス対策ソフトのプロセスを落とそうとしたり、レジストリを書き換えて NT 系ではサービスとして登録したり、9x 系では Run、つまり起動時の実行ファイルとして登録するそうです。

このようにシステム設定に影響を及ぼすことから、W32.Klez 駆除ツール (symantec.) といった駆除ツールが提供されています。

 

予防策

とにかく、Internet Explorer を SP2 以上にバージョンアップしたほうがいいと思います。

見るだけで感染してしまうのは厄介なので、とりあえず添付ファイルを開くまでは発症しないところまで持っていったほうがいいでしょう。

Internet Explorer のバージョンアップは、マイクロソフト社の無償ダウンロードのページ から行うことができます。

 

あと、今後の予防もかねて、プレビューウィンドウを表示しないようにするのもひとつの方法です。

プレビューウィンドウを表示しないようにすると、はじめはメールを見るにもいちいちダブルクリックしなくてはならないので面倒に思うかもしれませんけど、慣れてしまうと逆に、一度にたくさんの 「件名」 が見れるので便利な感じでした。

 

参考リンク