【ウィルス】

悪質ウィルス「Klez.E」が6日に発症
~ファイル削除・メールのヘッダを偽造

■URL
http://www.f-secure.com/news/2001/news_2002030500.shtml
http://www.europe.f-secure.com/v-descs/klez_e.shtml
http://www.ipa.go.jp/security/topics/newvirus/klez.html (IPA)
http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.e@mm.html (シマンテック)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.E (トレンドマイクロ)

 今年1月に発見されたコンピューターウィルス「Klez.E(W32.Klez.E@mmなどの別名でも知られる)」が「6日」に主要なファイルをすべて削除するなど悪質な行動に出ることから、セキュリティー企業のフィンランドF-Secureや米Central Commandなどがユーザーに注意を呼びかけている。このウィルスは未知のウィルスではないため、すでにセキュリティー企業各社はアンチウィルスソフトで対処できるようにしてある。ユーザーは最新のデータにアップデートし、自分のPCが感染していないか確認できる。

 Klez.Eは1月に発見されている。発見当初は、これまでに見つかっていた「Klez.A」の亜種として一般的なワームと同様にアドレス帳にあるアドレスに添付ファイルとして送りつける活動に注意が向けられていた。しかし、セキュリティー各社がウィルスの分析を進めた結果、毎月6日に「ほとんどのファイルを書き換えること」、「インストールされているアンチウィルスソフトの活動を止めること」、「添付して送信されるウィルスメールのヘッダを書き換え自分を偽装すること」など、極めて悪質な活動することが判明してきた。

 セキュリティー各社の情報によると、これらはいずれも2月終わりから3月初めにかけて判明したようだ。MessageLabsの調査によれば、現在、Klez.Eは世界で2番目に活動しているウィルスで、そのため今回の3月6日の発症によって甚大な被害が生じる恐れがあると考えられている。

 一度ウィルスが発症すると、すべてのexeファイルを書き換えて元のファイルを「隠しファイル」として見えなくするだけでなく、WordやExcel、テキスト、MP3ファイルなどほとんどのファイルを書き換えて呼び出すことができないようにする。さらにNimda、Sircam、Funlove、CodeRedなどのウィルスの活動を止め、同時にアンチウィルスソフトの活動を停止させる。

 また、特徴的なのは、添付して送り出されるウィルスファイルのヘッダ情報を書き換える点だ。これまではヘッダの情報からウィルスに感染している送信者が判明し、対処につながることが多かった。しかしKlez.Eの場合メール送信者のアドレスは感染したPCの中にある勝手なアドレスによって書き換えられているため、受取人がウィルス感染者を特定することができない。したがって場合によっては自分の会社のPCが1台も感染していないにもかかわらず、全く関係のない第三者にその企業の名前を語ってウィルスメールが送りつけられる危険性がある。信用問題に発展する可能性もあることから、ウィルスに関する知識を蓄えて説明できるようにしておく必要があるだろう。また、シマンテックによると、一見「メールサーバーから戻されたメール」に見える様式で届いたという報告も寄せられているとのこと。

(2002/3/6)

[Reported by taiga@scientist.com]


INTERNET Watchホームページ

INTERNET Watchグループinternet-watch-info@impress.co.jp