.
NEWS

トレンドマイクロが、「KLEZ.G」の駆除ツールを公開

ウイルス対策ソフトの最新のパターンファイルでないと検出できないため注意

(02/04/18)

 トレンドマイクロ(株)は17日、「KLEZ」ウイルスの新しい亜種「KLEZ.G」の駆除ツールを17日に公開した。駆除ツールは、現在同社のサイトから無償でダウンロードできる。なお、今回見つかった亜種の名称はウイルス対策ソフトメーカーによって異なり、「KLEZ.G」のほか、「Klez.H」と呼ばれることもある。

 トレンドマイクロ(株)によると、これまで被害の報告が多かった「KLEZ」ウイルスの亜種「KLEZ.E」と、今回被害の急増している新しい亜種ウイルス「KLEZ.G」の最も大きな違いは、ウイルスが感染者のパソコンから送信する電子メールの送信者欄と件名欄にあるという。「KLEZ.G」では、ウイルスを添付した電子メールを送信して感染活動を行う際、送信者の欄に感染したパソコンのローカルドライブにあるファイルからメールアドレスを取得し、取得したアドレスの中から任意のアドレスを記述する。一方、件名欄には、ウイルスの持つ候補文字列から文字列を任意に選択して記述する。件名は、組み合わせによって“a Trendmicro W32.Klez.E patch”“a Symantec W32.Elkern tool”などのウイルスソフトメーカーのウイルス対策ファイルと思わせるものになることもある。送信者欄と件名欄で、ウイルス対策ソフトメーカーからウイルス対策ファイルが送られてきたと思わせ、メール受信者がメールに添付されたファイルを実行してしまい感染してしまうこともある。また、ウイルス対策ソフトをインストールしていても、最新のパターンファイルでないと検出できないこともあり、17日に発見されたにもかかわらず、急速に被害が広まっている。

 「KLEZ.G」は、ウイルスメールに添付されたファイルを実行することで感染するが、IEのセキュリティホールを修正するプログラムをインストールしていない「Outlook(Express)」で、プレビュー機能が有効になっている場合は、ウイルスメールをプレビューしただけでも感染する。感染すると、“C:\Windows\System”や“C:\Winnt\System32”などのWindowsのシステムディレクトリに“WINK*.EXE(*は任意の文字列)”というウイルスファイルが作成され、Windowsの起動時に毎回このウイルスファイルを実行するようにレジストリを書き換えてしまう。ウイルスが実行されると、「KLEZ.G」は自分自身を添付したウイルスメールを送信したり、ウイルス対策ソフトが実行されないようにデータファイルを削除したり、レジストリを書き換えるなどの感染活動を行う。なお、「KLEZ.G」は、「KLEZ.E」のような奇数月6日のファイルの破壊活動は行わないとのこと。

 「KLEZ.G」に感染してしまった場合は、同社のWebサイトで公開されている駆除ツールを利用してウイルスを駆除しよう。感染を未然に防ぐためには、ウイルス対策ソフトのパターンファイルを最新のものにアップデートし、常駐監視させることが必要だ。また電子メールソフトに「Outlook(Express)」を利用している場合は、IEのセキュリティホール修正プログラムをインストールし、「Outlook(Express)」のプレビュー機能を無効にしておこう。

□WORM_KLEZ対策Web
http://www.trendmicro.co.jp/klez/
□不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)
http://www.microsoft.com/japan/technet/security/bulletin/ms01-020.asp
□窓の杜 - 【NEWS】トレンドマイクロ、送信者を偽る“WORM_KLEZ_E”ウイルスの対策サイトを開設
http://www.forest.impress.co.jp/article/2002/04/16/wormklezefix.html

(岩崎 綾)

|
トップページへ
Copyright (c) 2002 impress corporation All rights reserved.
編集部への連絡は mado-no-mori-info@impress.co.jp まで