WORM_KLEZ.E - 2002/4/16
感染警報VAC-2 「WORM_KLEZ.E」国内感染報告急増
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は既にパターンファイル204※1以降で対応済みの「WORM_KLEZ.E」(クレズ.E)について、国内感染被害報告の急増をうけ、本日ウイルス警報VAC-2※2に引きあげて警告し、あわせて専用対策WEBを開設し、駆除ツールを無償提供していることをお知らせします。
※1 今後新たな亜種の発生も考えられるため、お使いの製品のパターンファイルを最新のものに更新してください。
※2 VAC(Virus Alert Code)
トレンドマイクロが独自に発表している新種ウイルス警報です。新種ウイルスの感染力・破壊力などから脅威度を1~5までのレベルで表示しています。(VAC-1が最も脅威度が高い)
「WORM_KLEZ.E」(クレズ.E)対策について
「WORM_KLEZ.E」(クレズ.E)の現時点(4月16日9時現在)での国内感染被害報告件数(累計)は712件ですが、うち4月以降で390件と半数以上を占めるなど、ここ最近の被害が急増しております。
「WORM_KLEZ.E」(クレズ.E)はウイルス付e-mail送信の際に差出人を詐称しますので、e-mailの送信者欄にあるアドレスが必ずしもウイルス感染者のものとはならないことから、感染に関する注意が困難になっているのが特徴です。また、システム日付が奇数月(1月/3月/5月/7月/9月/11月)の6日に発病し、特定の拡張子(TXT、DOC、XLS等々)を持つファイルを上書きして破壊してしまいますので、来月6日を前に十分な注意が必要です。
さらに「WORM_KLEZ.E」(クレズ.E)は破壊活動としてウイルス対策ソフトが動作しなくなるようにしたり、ウイルス検索ができなくなるよう試みます。ウイルスバスターなどのウイルス対策ソフトを導入していても、パターンファイルが古いままだと感染する恐れがあります。修復は困難ですのでウイルス対策ソフトを導入していても、最新版になっているか必ずご確認することをお勧めします。
弊社では「WORM_KLEZ.E」(クレズ.E)に対し、確実な対応を行えるよう、専用の対策Webを開設しました。ウイルスに感染したマシンの修復方法など、詳細は下記URLよりご確認ください。
「WORM_KLEZ.E」(クレズ.E)専用対策WEB
http://www.trendmicro.co.jp/klez/
また、ウイルス情報はFAXBOXサービスからも入手できます。
FAX番号:03-5972-5746
BOX番号:1160【ウイルス詳細情報】、1161【駆除手順書】 ※3 ウイルスバスター On-Line Scan
http://www.trendmicro.co.jp/hcall/index.asp
「WORM_KLEZ.E」(クレズ.E)の特徴について
● 感染対象
Windows 環境のPC(Widows 9x/ME/NT/2000/XP)
● ウイルスの特徴
「WORM_KLEZ.E」(クレズ.E)は、自分のコピーをe-mailに添付して、Windowsのアドレス帳もしくは感染したコンピュータ内にある特定の拡張子(HTML、XLS、DOC等々詳細は下記URL)のファイル内から取得したアドレス全てに、ウイルス自身を添付したe-mailをシステム起動時毎に送信します。
大流行した「PE_NIMDA.A」や「WORM_BADTRANS.B」同様、Internet Explorerのセキュリティホール※4を悪用し、添付ファイルを開かずとも、プレビュー機能にてe-mail本文を見たり、カーソル(マウス矢印)をあてるだけでウイルスが活動を開始する仕組みになっています。
また、ネットワークの共有ドライブへのコピーで増殖すると同時に、実行可能形式ファイルへのウイルス感染を行う別プログラム※5も作成します。
ウイルス付e-mailの特徴は下記のとおりです。
送信者 : 多くの場合、ウイルス感染者のアドレスにはなりません。
Windowsのアドレス帳もしくは感染したコンピュータ内にある特定の拡張子(HTML、XLS、DOC等々、詳細は下記URL)のファイル内から取得されたアドレスか、あらかじめ設定されたアドレス(詳細は下記URL)からランダムに選んで使用(アドレス詐称)
件名、本文 : ランダムな文字列、またはあらかじめ設定された文字列(詳細は下記URL)から選択
添付ファイル名 : 拡張子がEXE、PIF、COM、BAT、SCR、RARのうちのいずれかでファイル名はランダムです。同時にhtm、txt、docなどの無害なファイルも一緒に添付して送ってくる場合があることもあります。
また、 ウイルス付e-mailを出した履歴はメールソフトの送信済みフォルダには残りまん。
※4 このウイルスが利用するセキュリティホールに関しましては以下のマイクロソフト社の説明をご参照の上、対策パッチの導入をお勧めします。
マイクロソフト社 TechNet セキュリティセンター:
http://www.microsoft.com/japan/technet/security/default.asp
※5 トレンドマイクロ製品ではこのウイルス活動を行う別プログラムを「PE_ELKERN.B」 として検知します。
● 破壊活動
【データ破壊】 システム日付が奇数月(1月/3月/5月/7月/9月/11月)の6日に発病し、特定の拡張子(TXT、DOC、XLS等々 詳細は下記URL)を持つファイルを上書きして破壊します。上書き破壊されたファイルは回復することは出来ません。
【ウイルス対策ソフトの停止】
「WORM_KLEZ.E」(クレズ.E)は複数のウイルス対策ソフトのプロセスを停止したり、削除してしまいます。
例えば、ウイルスバスターなどのウイルス対策ソフトを導入していても、パターンファイルを最新にしていない場合は感染してしまいますが、その場合、ソフトが動かない、アイコンが消えるなどの不具合があることが報告されています。
また、感染したまま、ウイルス対策ソフトをインストールしようとしても、ウイルスが実行モジュールを削除してしまうためインストールが行えません。
対処方法などの詳細は上記対策Webをご覧ください。
● ウイルスに関する詳細は下記URLよりご覧ください
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.E
「TrendLabs Japan」アンチ・ウイルスセンターウイルス解析担当者 岡本勝之 コメント
「PE_NIMDA.A」や「WORM_BADTRANS.B」と同様のInternet Explorerのセキュリティホールを悪用しているウイルスがこれだけ感染を広げるのは、おそらく多くの方がセキュリティホールへの対策をいまだとっていないものと予想されます。
ワーム活動においてはアドレス帳だけでなく、マシン内のあらゆるところからアドレスを取得し、システム起動時毎にメール送信を行う大量メール送信により、感染が感染を広げる結果となっています。また、そのメール送信時に差出人を詐称することで感染者がウイルス感染に気がつきにくいことも対策が遅れ、感染蔓延につながっていると考えられます。
※ TRENDMICRO、ウイルスバスターは、トレンドマイクロ株式会社の登録商標です。
※ 各社の社名および製品名は、各社の商標又は登録商標です。
