WORM_KLEZ - 2001/11/9
「TROJ_KLEZ」亜種発見、日本国内で感染被害
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は、10月末にパターンファイル160にて対応済みの「TROJ_KLEZ」に亜種が数種発見され、日本国内で多数の感染被害報告(11月9日19時時点で64件 (亜種含む))が確認されているため、ウイルス警報VAC-3 ※1 にあげて再警告すると同時に、駆除ツールを無償にて提供していることをお知らせいたします。
「TROJ_KLEZ」は大流行した「NIMDA(ニムダ)」と類似した活動を行い、e-mailと共有ドライブへのコピーで増殖すると同時に、実行可能形式ファイルへのウイルス感染を行う別プログラム(wqk.exe、wqk.dll)も作成します。この別プログラムをトレンドマイクロ製品では「PE_ELKERN.A」 として検知します。ネットワーク上で感染を広め、共有ファイルに対して悪質な破壊活動を行うので、感染が判明したマシンは直ちにネットワーク上から切り離すことをお勧めします。
なお、当社製品をご利用のお客様に対しては、「TROJ_KLEZ.A」に既にパターンファイル160(960)以降にて対応しております。現在、作成されるファイル名が異なったり、送信時に利用される差出人アドレス名の異なる亜種が数種発見されており、今後も同様の亜種がさらに増える可能性が高いため、常に最新のパターンファイルおよび検索エンジンのご使用をお勧めします。
※1 新種ウイルス警報VAC(Virus Alert Code)
新種ウイルスの感染力・破壊力などから脅威度を1~5までのレベルで表示。(VAC-1が最も脅威度が高い)
「TROJ_KLEZ.A」の概要
● 感染対象
Windows 環境のPC
● 感染対象
e-mailの添付ファイル、ネットワーク共有ドライブ
● 感染を防ぐための注意事項
「NIMDA(ニムダ)」同様ウイルスのダイレクトアクション活動(e-mailを見ただけで感染)を防ぐため、マイクロソフト社のInternet Explorerを使用している場合、最新のセキュリティパッチを適用してください。
● ウイルスの活動
実行されるとメモリに常駐し活動を開始します。まず、Windowsのシステムディレクトリに以下のファイルを作成します:
"KRN132.EXE"
"wqk.exe"(Windows9x/Meの場合)※
"wqk.dll"(WindowsNT/2000の場合)※
※"wqk.exe"、"wqk.dll"はウイルス名「PE_ELKERN.A」として発見されます。
OSがWindowsNT/2000の場合には「TROJ_KLEZ.A」をサービスとしてシステムに登録します。また、「PE_ELKERN.A」をシステムに必要なdllとして登録してしまいます。
OSがWindows9x/Meの場合にはレジストリを改変し、システム起動時にワームが自動実行されるようになります。
その他下記の活動を行います。
■[ウイルス対策ソフトの停止]
ワームは現在実行中のプロセスをチェックし、複数(詳細は下記URL)のプロセスを終了することを試みます。プロセスは全てウイルス対策ソフトのプロセスと考えられます。
■[ネットワーク経由でのワーム活動]
ワームは8時間毎に、ネットワーク上で読み書きの権限のあるすべての共有ドライブ/フォルダに対し自身のコピーをばらまきます。ワームはローカルドライブから拡張子がDOC,XLS,JPGなど(詳細は下記URLより)のファイルを見つけ、そのファイル名を全て記録します。
そして、ネットワーク上で読み書きの権限のある共有フォルダを見つけると、記録したファイル名からランダムに選んだファイル名の最後に「.EXE」を加えたファイルを作成します。
例:aaa.jpg → aaa.jpg.exe
■[E-Mailでのワーム活動]
ワームは自身のコピーを添付したe-mailをWindowsのアドレス帳ファイルから取得できたe-mailアドレス全てに送信します。ワームが送信するe-mailはHTML形式e-mailで以下の内容です:
- 差出人:複数のアドレスのうちいずれか(詳細は下記URL)
- 件名:
- 本文:
I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?" - 添付ファイル名: 拡張子「EXE」のランダムな名称のファイル。 ※ ただし、差出人、件名、本文は空白になる場合もあります。また、差出人は感染マシン内で取 得した任意のe-mailアドレスになる場合もあります。 複数の文字列のうちいずれか(詳細は下記URL)
● 発病
「PE_ELKERN.A」により、システム日付が3月13日か9月13日になった場合に発病します。発病すると、感染マシンから書き込みが行えるすべてのネットワークドライブ上のすべてのPE型実行プログラムファイルを"0"で上書きして破壊してしまいます。
※「TROJ_KLEZ.A」による発病では、感染したマシンのシステム日付が偶数月の13日であった場合、ワームは発病し全ドライブの全ファイルのファイルサイズを0バイトにしてしまう破壊活動を行おうとしますが、ウイルスコードのバグのためか実際にはこの破壊活動は行われません。ただし「TROJ_KLEZ.A」に感染した場合、「PE_ELKERN.A」に感染している可能性が高いため、上記「PE_ELKERN.A」による発病に気をつける必要があります。
追記(2001年11月13日)
亜種「TROJ_KLEZ.C」はシステム日付が奇数月の13日だった場合に発病し、全ドライブの全ファイルのファイルサイズを0バイトにしてしまう破壊活動を行いますので お気をつけ下さい。
● 無償駆除ツールの情報は下記URLをご覧ください
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3288
※ 手動駆除手順とともにそれを自動化するツールを紹介しています。
● ウイルスに関する詳細は下記URLよりご覧ください
「TROJ_KLEZ.A」
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_KLEZ.A
「PE_ELKERN.A」
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=PE_ELKERN.A
● 現在ウイルス対策製品をご使用でないお客様向けソリューション
トレンドマイクロ社ホームページより、「オンラインスキャン」にてマシンのウイルスチェックを実行し、 検出した場合、手動または上記のツールにて駆除してください。
「オンラインスキャン」URL:
http://www.trendmicro.co.jp/hcall/index.asp
※ TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
※ 各社の社名および製品名は、各社の商標又は登録商標です。
