ウイルス情報

ウイルス名 危険度

W32/Klez@MM

企業ユーザ:
個人ユーザ:
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4168
対応定義ファイル
(現在必要とされるバージョン)
4241 (現在7628)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名 Klaz (F-Secure), W32.Klez.D@mm (NAV), W32/Klez.a@MM, W32/Klez.b@MM, W32/Klez.eml, W32Klez (Panda), Win32.Klez.D@mm (AVX), TROJ_KLEZ.C (Trend)
亜種 W32/Klez.d@MM, W32/Klez.e@MM, W32/Klez.h@MM
情報掲載日 01/10/29
発見日(米国日付) 01/10/26
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

駆除方法

  • 駆除ツールを公開しました。こちら をご覧ください。


亜種情報

  • klezの亜種の感染が広がっています。下記亜種情報をご参照ください。

    なお、最新のW32/Klezの亜種klez.hには、2002年1月23日発行4182以降の定義ファイルで対応済みです。(2002年4月23日)

    W32/Klez.h@MM2002年4月19日危険度を 中 に格上げ
    W32/Klez.e@MM2002年3月4日危険度を 中 に格上げ
    W32/Klez.d@MM本種との違いはわずかです。
    WinSvc.exeがkrn132.exeを置き換えます。

  • このウイルスは、「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する 」という脆弱点を悪用します。 インターネット・エクスプローラ (ver 5.01 または 5.5 でSP2なし)をお使いの皆様は、不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)を参照の上、脆弱点を修正することをお勧めします。

    W32/Klez@MMは、メール送信型ウイルスです。メールの内容は以下のようになります。

    送信元以下のいずれかになります。

  • king@21cn.com
  • flag@21cn.com
  • super@21cn.com
  • zhangcheng77@online.sh.cn
  • broused@online.sh.cn
  • lbhuangsy@21cn.com
  • kqlbaby@21cn.com
  • jiemin@citiz.net
  • feiyiming@citiz.net
  • lllwww@online.sh.cn
  • tomyjiang18@21cn.com
  • luxianchu@21cn.com
  • kqlbaby@21cn.comlin
  • yuezhi@citiz.net
  • zhangcheng77@online.sh.cn
  • zbzwy@21cn.com
  • sarge2010@21cn.com
  • 件名 以下のいずれかになります。

  • Hello
  • How are you?
  • Can you help me?
  • We want peace
  • Where will you go?
  • Congratulations
  • Don't cry
  • Look at the pretty
  • Some advice on your shortcoming
  • Free XXX Pictures
  • A free hot porn site
  • Why don't you reply to me?
  • How about have dinner with me together?
  • Never kiss a stranger
  • 本文 I'm sorry to do so,but it's helpless to say sorry.
    I want a good job,I must support my parents.
    Now you have seen my technical capabilities.
    How much my year-salary now? NO more than $5,500.
    What do you think of this fact?
    Don't call my names,I have no hostility. Can you help me?

    (上記テキストは、HTMLコメントタグの内部に書かれているので、
    HTMLメール表示の場合には表示されません)

    添付ファイル名(一定ではありません)

    • このウイルスは起動時に、Windowsシステムフォルダの中にKRN132.EXE という名前で自分自身をコピーします。 さらに以下のようなレジストリ・ラン・キーを作成して、スタートアップ時にウイルスが起動されるようにします。

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\Krn132=C:\WINDOWS\SYSTEM\krn132.exe

    • このウイルスには、W32/Elkern.cavというウイルスが含まれています。このウイルスはWindowsシステムフォルダの中にWQK.EXEという名前で落とし込まれます。 さらに以下のレジストリ・ラン・キーが作成されます。

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\WQKC:\WINDOWS\SYSTEM\WQK.EXE

    • W32/Elkern.cavの詳細情報はこちらをご覧ください。

    • このウイルスには、ネットワークリソースを検索して、次の感染先となるオープン共有を探すためのコードが含まれています。検索は8時間おきに行われます。この他、割り当てドライブを探すためのコードも含まれています。しかしこのコードにはバグがあるので、実際にはドライブAしかチェックできません。ドライブAは、通常FDドライブかリモートドライブかのいずれかなので、このチェックは失敗に終わります。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

TOPへ戻る