皆さんウイルスには十分注意しましょう!

(お前もなっ!ってツッコミは無しって事で・・・(汗)

戻る

『SirCam』を超えた『Klez.H』

ロンドン発――『Klez.H(日本語版記事)』は、『Klez』系ウイルスのなかで最大の猛威をふるっていることが判明した。『Klez.I』を大きく引き離し、さらに『Sircam(日本語版記事)』から過去最強のコンピューターウイルスという称号を奪った。

 悪意ある電子メール添付ファイルの検出サービスを企業に提供しているウイルス駆除会社の英メッセージラボによると、Klez.Hは26日(現地時間)、Sircamを追い抜いて感染をさらに拡大中だ。

 Klezワームの変種のKlez.HとKlez.Iを合計すると、増殖規模としてすでにSircamを追い越した。しかしKlez一族のなかで、最も優秀なのはKlez.Hだということが明らかになってきた。

 メッセージラボのサーバーは、Klez.Hが登場した4月末以来、平日は毎日2万件もの同ワームを検知し、現在までに80万件以上の感染を食い止めている。SirCamがもっとも増殖した時期でも、検知されたのは1日に1万件以上だった。

 「SirCamが流行したときよりも、顧客の数は増えている。しかし、その分を考慮しても、Klezの方が増殖していると思う」と、メッセージラボのウイルス駆除技術者アレックス・シップは述べた。

 SirCamの勢いが衰え始めた時は、すでに世界中で膨大なコンピューターが感染していた。感染したシステムの修復費用と生産性から算出すると、与えた被害額は少なくとも10億ドルだった。

 しかしKlez.Hは、おもに家庭のユーザーと小規模企業に影響を与えているという。「感染した大企業は、ごくわずかのようだ」とシップ。

変装の名人

 Klez.Hが大きな成功を収めた(日本語版記事)背景には、変装して感染を広める方法をいくつも持っていたことがある。

 「インターネットには、ウイルス対策をまったく施していないユーザーが大勢いる。このようなユーザーは、件名と内容でウイルスを回避しようとする」とシップ。Klez.Hの返送キットは、この傾向を利用した。

 まず、Klez.Hは120種類ある電子メールの件名から1つを選んで偽装する。標準的な件名は「let's be friends」(友だちになろう)、「meeting notice」(会合のお知らせ)、「some questions」(質問があります)、「honey」(ねえ、ハニー)など18種類。ほかにも「a x game」(xゲーム)、「a x patch」(xパッチ)など7種類のパターンがある。「x」の部分は「new」、「WinXP」、ウイルス対策の大手企業6社の社名など16のバリエーションがある。

 またKlez.Hは、送信者名を、他人の電子メールアドレスでカモフラージュする。感染したパソコンでさまざまな種類のファイルを探し、電子メール・アドレスを拾い出し、送信者のアドレスとして勝手に使ってしまう。また、独自のメール・プログラムを使って、パソコン内で見付けたアドレスに自身を送りつける。
 電子メールの本文中でも、Klez.Hはファイル名で受信者をだまそうとする。感染したパソコンに利用できるネットワーク・ストレージを見つけると、任意のファイル名と拡張子「.EXE」、「.PIE」、「.COM」、「.BAT」、「.SCR」、「.RAR」を組み合わせて、リモート・ディスク・ドライブに自身をコピーする。ファイル名には、拡張子が2つ付く場合もある。

 以上に加えて、Klez.Hは時に、ユーザーがファイルを開かなくても、プログラムを実行できる。12ヵ月前に『Microsoft Outlook』に発見されたセキュリティーホール(『Automatic Execution of Embedded MIME Type』バグとして知られている)を使って、パッチ修正を施していないOutlookバージョンで自動的に自身を起動させる仕組みだ。

 Klez.Hは、ウイルス駆除ソフトウェアに攻撃を仕掛け、レジストリ・キーを削除し、実行プロセスを止め、ウイルス定義ファイルを削除したりもする。

 さらに問題は、送信者名がカモフラージュしてあるため、自分のパソコンが感染していることに気づかないユーザーが大勢いることだ。「普通は、ウイルスを受け取れば知り合いに注意をうながすものだ。しかし、誰もが見当違いの相手に警告を送っているため、感染したパソコンの持ち主はまったく気づかない。これまでは、自分のパソコンにウイルスがあれば、結局は誰かが教えてくれた。しかし今後は助言もあてにできない」とシップは語った。

なぜKlez.Hだけ?

 Klez.Hが同族のKlezワームと比べてはるかに成功している理由は、まだはっきりしていない。他のKlez系ワームのなかには、Klez.Hと同じ非常に巧妙なテクニックを使っているワームもある。

 Klez.Iは、Klez.Hと同じ日に登場した。「しかし、Klez.Iはまだ2件しか目にしていない。Klez.Hは大流行している。どうして一方だけ流行したのか、理由がわからない。ウイルス作者が、電子メール・グループごとに異なるバージョンを植え付け、Klez.Hをもらったグループのほうが活動が盛んだったため、ウイルスが臨界値に到達したのかもしれない」とシップは分析している。

 Klezワームを駆除するためには、次のような方法が推奨されている。ウイルス駆除ソフトウェアをアップデートして実行すること、Microsoft Outlookに適切なセキュリティー・パッチをインストールしているかどうか確認すること、米シマンテックのサイトからダウンロードできるKlez除去ツールのようなスタンドアロン型ウイルスチェックを実行するのも有効だ。

日本語版関連記事

あなたも『Klez』をばらまいた犯人?

『Klez』に追い討ちをかける『Chernobyl』ウイルス

 

 

 

<KLEZ(クレズ)の特徴>
●SUBJECT(件名)について
 このウイルスは、Windows アドレス帳の宛先と、感染マシンのファイルの中から抽
 出したアドレスに対してメールします。それによって届くメールの件名と本文はウ
 イルスの中にある文字列から構成されます。
 ※SUBJECT(件名)例
  A very funny website・1996 Microsoft Corporation・Some questions 等々

●添付ファイルについて
 添付ファイル名もランダムに作られます。
 ※添付ファイル 例
  ALIGN.pif・ALIGN.pif・line.bat

●ウイルスの判別について (以下の場合は感染している恐れがあります)
 ・ネットワーク共有の中に奇妙なファイル名のファイルが存在する。
 ・下記のレジストリキーがWINKxxx.EXE ファイルを参照する。
  ("xxx"はランダムな文字が入る)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  または
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 ● ウィルスメールにご注意を!

  最近のウィルスメールは、送信者の偽装を行うものが多く出回っています。
  マリン・ネットから添付ファイル付のメールを送ることはありませんので、
  十分ご注意お願いいたします。

  また、アウトルックエクスプレスをご利用の方はWindowsUpdateを必ず
  行うようにして下さいね。
  (5月16日からのWindowsUpdate「重要な更新」を実行すると、
   今まで勝手に出ていた「実行しますか?保存しますか?」のウィンドウ
   が出なくなり、大変快適になりました!)

● デマメールにもご注意を!

  最近『「jdbgmgr.exe」というファイルがあったら感染してるよ』といった
  デマメールも流行しています。「jdbgmgr.exe」はWindowsの正式なファイル
  で、削除してしまうとWindowsが正常に動かなくなります。

  このようなメールを受け取っても、決して他に転送したりしないで下さいね
悪質ウイルス「KLEZ(クレズ)」の被害が再発してます!メールを見るだけで感染するため、知 らない間にウイルス付きメールを知人に送ってしまう事も…ダウンロードで今すぐ使えるMcAfee.com ウイルススキャンオンライン」ならうっかり開いても安心です。→http://www.sourcenext.com/e-shop/mag_114.html
 ■『KaZaA』ネットワークにワームが発生
      http://japan.cnet.com/Enterprise/News/2002/Item/020521-1.html?me
        人気のファイル交換システム『KaZaA』にワームが発生した。『Benjamin』
        ワームは、楽曲や映画の海賊版を装った偽のファイルをダウンロード
        するようユーザーを誘い込み、感染を広げる。今のところ深刻な被害
        は報告されていない。

ウイルス情報役立ちリンク

コンピューター

ウィルス情報

jp logo

ノートン

アンチウイルス

 Click Here! Click Here! F-SECURE TOP

 

 

関連記事転載

第4回:ウィルスに負けないネットライフを送ろう ウィルス対策編その1

 前回まで、ウィルスについて色々なお話をしてきましたが、今回からは実際の対策の取り方を考えていきたいと思います。ずばり申し上げますが、皆さんが簡単に取ることができるウィルス対策は現在以下の3つにしぼられます。

  1. セキュリティを上げる:「ウィンドウズ・アップデート」を利用して、常にソフトを最新のものにする。
    また、Outlook ExpressやInternet Explorer の設定を変更する。

  2. メールソフトの使い方を極める:危険なメールを見分けて処理する力をつける。
    また、メールソフトを乗り換えるなどして、ウィルスの狙いを外す。

  3. ウィルス対策ソフトを使う:ウィルスチェックや駆除を行う。
    常に、最新のバージョンに更新してこまやかに対応することが出来る。

    補足:
    3.の代替案として、オンラインでのウィルス検索サービス(トレンドマイクロシマンテック)やプロバイダによるサーバ内でのメールチェックサービスなどがあり、これらも常に最新の事情に対応していて便利です。しかしながら仮にウィルスに感染してしまった場合、結局ウィルス対策ソフトを購入して駆除することになるので、私は個人的に対策ソフトを購入した方が楽だと思います。

 それでは、今回は対策の1.と2.について詳しく解説していきます。


1.セキュリティアップ作戦その1:最新版ソフトへのアップデート

 今回はウィンドウズユーザーの方向けの話になりますが、マックユーザーの方もソフトの最新版へのアップデートは、こまめに行うことをお勧めします。
 マイクロソフト社のHPでは、ウィンドウズの様々な機能や付属ソフトの無料アップデートのサービスを行っています。これを利用して、発見されたバグやセキュリティホールを常に埋めていくようにしましょう。マイクロソフトもウィルスに負けないように、最新の状況に素早く対応していますから、アップデートサービスに気を配っていれば、相当安全なネットライフを送ることが出来ます。少なくとも、時代遅れのウィルスに感染して泣くことはなくなるはずです。


2.セキュリティアップ作戦その2:インターネットツールの設定を変更する

 まず、Outlook Expressのプレビュー機能を切ることをお勧めします。(切りたくない方は、結構ですが…)メニューの「表示」、次に「レイアウト」を選び、「プレビューウィンドウを表示する」のチェックを外してください。これで、メールを選択しただけでプレビューが表示され、IEが起動してウィルスが発動する危険性がぐっと下がります。ただし、メールはダブルクリックしないと見ることが出来なくなりますので、少し使いづらく感じる方もいらっしゃるかもしれません。
 また、HTMLメールの送信をしないようにしておくことも重要です。「オプション」で「送信」タブの中の「メール送信の形式」で「テキスト形式」を選択するようにしましょう。標準状態ではHTML形式になっており、HTMLメールのウィルスを送ってしまうことに繋がりかねません。こうした気配りはもはや「ネチケット」だと言えます。


3.メールを極める作戦その1:危ないメールの見分け方を知ろう

 「ファイルの添付された怪しいメールは絶対に開かない。」や「メールのプレビュー機能は切っておく」という鉄則を以前紹介しましたが、敵もさるものです。様々な心理作戦を利用して、ついついメールを開いてしまうように仕向けてきます。トレンドマイクロ社やシマンテック社などのHPに行って、どのような作戦を取っているのか、ざっと知っておくのが良いでしょう。
 とりあえずは拡張子が.exeで終わる添付ファイルがあったら、まず怪しいと考えてください。絶対に開いたりせず、右クリックで削除するか、ゴミ箱へドラッグしましょう。(もちろんプレビューを切った状態で。)しかしながら、ウィルスソフトはこの拡張子を隠すために、その前に.txtなどの文字を入れたりして偽装をほどこしたりすることがあります。ウィンドウズの標準設定では拡張子は表示されませんから、「.exe」の文字が消えて、初心者の人にはテキストファイルに見えてしまったりするのです。こうした心理戦に強くなるよう、日頃から正しい情報をし入れて注意するようにしましょう。(デマにも注意してください。対策ソフトのメーカーの出す情報を信じましょう。)
Outlook Express
プレビュー機能をオフにする

●Step1


●Step2

4.メールを極める作戦その2:メールソフトを乗り換える

 これは、必ずしも「絶対にした方が良い」という方法ではありませんが、オンラインで手に入れることが出来るメールソフトを使うことで、メール感染型のウィルスの多くを無力化することができます。というのも、ウィルスメールのほとんどが、世界で最も使われているメールソフトOutlook Expressを対象としたものだからです。
 以前にお話した通り、ウィルスメールはHTMLメールの表示機能を利用して、添付ファイルを開かせます。Outlook Expressでは、このHTML表示機能が固定されており、Internet Explorerを自動的に起動してしまい、その結果Internet Explorerのセキュリティホールを突かれてしまいます。
 それに対して他のメールソフトでは、HTMLメールの表示を切ることができたり、メールサーバーの上で内容を確認できたりしますから、ずっと安全です。Outlook Expressを使いなれている方は、他のメールソフトの使い勝手に不安を感じられるかもしれませんが、実は大変評判の良いソフトが結構あります。その代表格が「Becky! Internet Mail」、「EdMax」や「Eudora」です。また、「nPop」はメールサーバー上での本文チェックや操作を行うことができます。


 次回は、さらにウィルス対策ソフトを使って、万全の対策を取ることを考えたいと思います。ウィルス対策ソフトの購入でお悩みの方は是非ともお読みください。

※また、前回のウィルスによるハッキング支援に関してですが、「ハッキング」という言い方よりも「クラッキング」と表現した方がより的確でした。前者は、ネットワーク技術を高度に使いこなして活動すること全般を指しますが、それを悪用することが後者であるとされています。

 

筆者
慶應義塾大学 環境情報学部4年
緑川 徹生 Tesuo Midorikawa

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

SEO [PR] 爆速!無料ブログ 無料ホームページ開設 無料ライブ放送