(その11 「WORM_KLEZ.G」(クレズ)
「W32/Aliz.A」 「W32/Badtrans.B」 「ウィルスメール対処法」 「Goner.A」 I.Eのバグ 「W32/Meldal.C」
「JS_Exception」 MYPARTY.A PE_MAGISTR.A WORM_FBOUND.C WORM_KLEZ.H WORM FRETHEM
JDBGMGR.EXE BUGBEAR VBS/Redlof MSBlaster Sobig.F
名前までクレージーな、クレズ!! おやっ!?と思える本文や発信者名で来るよ!
「Klez.Aの亜種で、Klez.Gとか、Klez.Hなど、どんどん進化しています!
モグラの会社には、毎日4〜5通も訪れます!・・・とにかくご注意を!!
[WORM_KLEZ]の亜種がいろいろと、出回っています。
自分のコピーをe-mailに添付して、Windowsのアドレス帳もしくは感染したコンピュータ内にある特定の拡張子(HTML、XLS、DOC等々詳細は下記URL)のファイル内から取得したアドレス全てに、ウイルス自身を添付したe-mailをシステム起動時毎に送信します。
大流行した「PE_NIMDA.A」や「WORM_BADTRANS.B」同様、Internet Explorerのセキュリティホール悪用し、添付ファイルを開かなくても、プレビュー機能でe-mail本文を見たり、カーソル(マウス矢印)をあてるだけでウイルスが活動を開始する仕組みになっています。
ウイルス付e-mailの特徴は下記のとおりです。
1.ファイル感染活動
ウイルスは"WinNT", "Windows", "Win95",
"Win98" と名前のディレクトリ内にあるすべての拡張子.EXEもしくは.SCRでPE形式の実行可能ファイルに自身のウイルスコードを追加して感染します。
2.送信者
多くの場合、ウイルス感染者のアドレスにはなりません。(アドレス詐称)
適当な名前を騙って来ますので「おやっ!?」と、思わず開封してしまいそうな発信者名。
モグラには「postmaster@arma.cojp」という発信者で来たことがあります。・・・
これにはマイッタ(;´_`;)・・・「モグラさんがpostmasterであることを知っての狼藉か、無礼者!!」
Windowsのアドレス帳もしくは感染したコンピュータ内にある特定の拡張子(HTML、XLS、DOC等々、詳細は下記URL)のファイル内から取得されたアドレスか、あらかじめ設定されたアドレスからランダムに選んで使用します。
3.件名、本文
ランダムな文字列、またはあらかじめ設定された文字列から選択します。
例えば、下記のような・・・
Hi,This is a very funny game
This game is my first work.
You're the first player.
I hope you would like it.
↑面白がって、添付ファイルをクリックしないでね。
4.添付ファイル名
拡張子がEXE、PIF、COM、BAT、SCR、RARのうちのいずれかでファイル名はランダムです。
同時にhtm、txt、docなどの無害なファイルも一緒に添付して送ってくる場合があることもあります。
また、 ウイルス付e-mailを出した履歴はメールソフトの送信済みフォルダには残りません。
日本ネットワークアソシエイツのサイト
http://www.nai.com/japan/virusinfo/virK.asp?v=W32/Klez.h@MM
トレンドマイクロのサイト
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.G
シマンテックのサイト
http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.h%40mm.html
シマンテック社では、「ウイルスの提出件数が増加したため、危険度を3に引き上げました。」とあり、被害急増中です。
「W32/Aliz.A」 「W32/Badtrans.B」 「ウィルスメール対処法」 「Goner.A」 I.Eのバグ 「W32/Meldal.C」 「JS_Exception」
MYPARTY.A PE_MAGISTR.A WORM_FBOUND.C WORM_KLEZ.H WORM FRETHEM JDBGMGR.EXE
BUGBEAR VBS/Redlof MSBlaster Sobig.F