製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:K
ウイルス情報
ウイルス名危険度
W32/Klez.e@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4182 (現在7515)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm/Klez.E (AVP), W32.Klez.E@mm (Symantec), W32/Klez.F (Panda), Win32.HLLM.Klez.1 (DrWeb), Worm/Klez.E (H+BEDV), WORM_KLEZ.E (Trend)
情報掲載日02/03/04に危険度を格上げ
発見日(米国日付)02/01/17
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/29RDN/Download...
07/29RDN/Download...
07/29RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7515
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
2002年3月4日更新情報


ゆっくりではありますが、この数週間着実に感染が広がっているので、AVERTはこのウィルスの危険度を に上げました。

  • このW32/Klezの亜種が作るeメールでは「差出人」 フィールドが偽造されます。偽造の元となるアドレスは、感染マシンから採取されていると思われます。この場合、ウイルスメールを受取った側からは、単にあるメールアドレスからメールが来たように見えますが、しかし実際の送信元はそのアドレスとは異なります。本当の送信元は、メールのヘッダを見れば分かります。
  • このウィルスは、Microsoft Internet Explorer(ver 5.01 または 5.5 のSP2なし)の不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)を利用したものです。
  • このウイルスが送るメールの件名と本文は、ウィルス自身に内蔵されている非常に長い文字列からランダムに構成されたものです。(上記の文字列以外から、文字が追加されることもあります)

    "Hi, Hello, Re: Fw: Undeliverable mail-- Returned mail-- game a tool a website new funny nice humour excite good powful WinXP IE 6.0 W32.Elkern W32.Klez how are you let's be friends darling don't drink too much your password honey some questions please try again welcome to my hometown the Garden of Eden introduction on ADSL meeting notice question naire congratulations sos! japanese girl VS playboy look, my beautiful girlfriend eager to see you spice girls' vocal concert japanese lass' sexy pictures Symantec Mcafee F-Secure Sophos The following mail can't be sent to The attachment The file is the original mail give you the is a dangerous virus that can infect on Win98/Me/2000/XP. spread through email. very special For more information,please visit This is I you would it. enjoy like wish hope expect Christmas New year Saint Valentine's Day Allhallowmas April Fools' Day Lady Day Assumption Candlemas All Souls'Day Epiphany Happy Have a"

  • AVERTが行ったテストでは、以下のようなメールが発生しました。
    件名:以下のいずれか
    • Document End
    • Happy Lady Day
    • From
    • Eager to see you
    • Returned mail--"Document End "
    • HEIGHT
    • A WinXP patch
    • Hi,spice girls' vocal concert
    • Happy nice Lady Day
    • ave a humour Lady Day
    • good Lady Day
    • ALIGN
    • Have a good Lady Day
    • Undeliverable mail--"IIS services with this Web administration tool."

    (件名と本文が空のまま送信されることもあります。)

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  1. プログラムの実行が妨害され、偽のエラーメッセージがたびたび表示される。


    注:ファイル名は無作為生成ですが、必ず EXE ファイル形式です。

  2. WINKxxx.EXE が \WINDOWS\SYSTEM フォルダー下にある(例:WINKIDT.EXE や WINKKR.EXE)
  3. 以下のレジストリキーによりWINKxxx.EXE file ("xxx"は無作為生成) が参照されている。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    または
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

  4. 実行ファイルに、同じくらいのサイズでランダムな拡張子のコンパニオンファイルが存在している。(例:MSOFFICE.EXEの場合、MSOFFICE.HRH(隠しファイル)というコンパニオンファイルが存在している)。また感染ファイルを実行した場合、3つめの一時ファイルができます。そのファイルのファイル名には~1が含まれています。(例:NETSCAPE.EXEの場合、NETSCAPE.PXBの他に、NETSCA~1.EXEが作成されます(サイズはNETSCAPE.EXEと同じ))。この3つめのファイルはウイルスが、自分の感染活動のために、一時的に作成するファイルです。一時ファイルなので、ウイルス感染ファイル(=プログラム)が終了するときに、ウイルスによって削除されます。
  5. システムパフォーマンスが著しく低下する。プログラムが停止する場合がある。

感染方法TOPへ戻る
  • このウイルスは、メールを開いただけで、上記の脆弱点を悪用して活動を始めます(パッチの当っていないシステムでは、メールをプレビューするだけでもウイルス感染が起こる場合があります)。そして自分自身をWINKxxx.EXEという名前("xxx"は無作為生成)で\WINDOWS\SYSTEM フォルダーにコピーします(Windowsをデフォルトインストールしていない場合は、コピー先フォルダ名が異なる場合があります)。このファイルは、システム起動時に、起動されるよう設定されます。
  • W32/Klez.e@MMは、本種W32/Klez.gen@MM をもとにした亞種ウイルスです。本種との違いは、( W32/Elkern.cav.b の落とし込みだけでなく)、自分自身でファイル感染を行えることです。亞種Eは、ファイルの上書きを行います。感染前の宿主のサイズの分だけゼロが補填されます。この場合でもオリジナル・ファイルは、拡張子を変えて保存されます。この時ファイル属性が「隠し」あるいは「システム」にされます。(隠しファイルやシステムファイルは、エクスプローラで「表示」→ 「オプション」→「すべてのファイルを表示」を指定すれば、見ることができます)。
  • 感染ファイルを実行した場合、このウイルスは、保存したデータを使って、未感染の寄生先ファイルを再構成するということを行います。この場合、ファイル名は、元の名前に"~1"を追加したものになります。例えば MSOFFICE.EXEが感染した場合、感染していないMSOFFI~1.EXEが作成されます。ウイルスの動作終了時にこのファイルは削除されます。つまり一時的にのみ存在するファイルということになります。
  • W32/Klez.e@MMはSMTPプロトコルを使って自分自身を送信します。送信先アドレスは、Windowsのアドレス帳から採取されます。
  • 特定日付に発生する破壊活動があります。3月、5月、9月、11月の6日には、このウイルスはローカル・ドライブおよびネットワーク・ドライブの中の.txt, .htm, .html, .wab, .doc, .xls, .jpg, .cpp, .c, .pas, .mpg, .mpeg, .bak, or .mp3. といった拡張子を持つファイルをゼロで上書きすることがあります。
  • 1月と2月の場合でもファイル上書きが発生するといわれていますが、AVERTでのテストではその動作は再現されませんでした。

駆除方法TOPへ戻る
  • こちらをごらんください。(駆除ツールを公開しました)
  • Klez.e・Klez.h対策ナビゲーターを設置いたしました。詳しくはこちらをクリックしてください。
  • 絵とき:Klez.eとはどのようなウイルスなのか(4/26更新)
  • このウイルスはいわゆる「メールを見るだけで感染するウイルス」です。この他、メールをプレビューするだけでも感染します。
    メールのプレビューが発生しないようOutlookの設定を変更する方法については、こちらをご覧ください。