アップデート: Klezワームは、電子メールによって広がり、ファイルを感染 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.24(火)

アップデート: Klezワームは、電子メールによって広がり、ファイルを感染

脆弱性と脅威 脅威動向

概要:
 Klezワームは、何通りかのメール内容で広まり、Elkernウィルスをインストールすると共に、ファイルを破壊してそれらを使用不可能とする。このワームは 57,345バイトの添付ファイルとして到着するが、送られてくるメールは下記の通り幾つかのパターンがある。

題名:
Hello, 又は
How are you? 又は
Can you help me? 又は
We want peace 又は
Where will you go? 又は
Congratulations 又は
Don't cry 又は
Look at the pretty 又は
Some advice on your shortcoming 又は
Free XXX Pictures 又は
A free hot porn site 又は
Why don't you reply to me? 又は
How about have dinner with me together? 又は
Never kiss a stranger

内容:
I'm sorry to do so, but it's helpless to say sorry. 又は
I want a good job, I must support my parents. 又は
Now you have seen my technical capabilities. 又は
How much my year-salary now? NO more than $5,500. 又は
What do you think of this fact? 又は
Don't call my names, I have no hostility. 又は
Can you help me?

添付:
ランダムな名称の EXEファイル

 Klezワームは、マイクロソフト社の Outlook、Outlook Express、又はInternet Explorerの幾つかのバージョンに内在する、有名な MIMEの脆弱性(添付ファイルを開かなくても、EXEファイルが自動的に実行されてしまう問題)を利用しようとする。メールの添付ファイルが実行された場合、ワームは自身を krn132.exeとして Windows Systemフォルダにコピーする。また、ネットワークドライブに対しても自身のコピーを、ランダムな名称の二重拡張子ファイル(.jpg.exeなど)としてコピーする。

 また、ワームは感染したコンピューターの Windowsアドレス帳の全アドレスに、自身のコピーを添付したメールを送り付ける。更には、自身が活動中、8時間毎にオープンネットワーク共有をスキャンし、接続されているコンピューターへの感染を試みる。また、毎月13日には、全てのローカル及びネットワークドライブのファイルサイズを「ゼロ」に設定し、ファイルを使用不可能にさせる。ワームは、ローカル及びネットワークドライブに存在する EXEファイルに、Elkernウィルスをインストールし、実行する。

 Elkernウィルスに感染されたファイルを実行すると、ウィルスはデフォルトの Windows Systemフォルダに自身を WQK.EXEとしてコピーする。WQK.EXE ファイルは隠され、かつ変更が加えられるため、このファイルのアイコンは表示されない。その後、ウィルスは Windowsのレジストリ・キーを変え、Windows起動時に WQK.EXEが実行されるようにする。もしウィルスが Windows NT又は Windows 2000に感染した場合、ウィルスはクラッシュしてしまうので、それ以上は感染しない。一方でウィルスは、ローカル及びネットワークドライブ上の EXE及び SCRファイルを探し、感染する。Elkernウィルスは、自身のコードを暗号化してファイルに挿入するため、感染されたファイルのサイズは変わらない場合が多い。感染ファイルを実行すると、ウィルスのコードは復号化され、ウィルスの命令が実行された上、他ファイルに感染を始める。Elkernウィルスは、Klezワームが存在しなくても繁殖する能力は持っている。また、ウィルスのコードに内在するエラーにより、書き込み保護されているネットワークドライブに感染を試みた場合、感染したコンピューターをクラッシュさせてしまう。

別名:
W32.ElKern.3326, W32.Poverty.A@mm, W32.Klez.A@mm, ElKern, Klaz, W32/Klez@MM

情報ソース:
Trend Micro Inc. Oct. 26, 2001
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_KLEZ.A
Trend Micro Inc. Oct. 26, 2001
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_ELKERN.A
Symantec Corp. Oct. 26, 2001
http://www.symantec.com/avcenter/venc/data/w32.klez.a@mm.html
Symantec Corp. Oct. 26, 2001
http://www.symantec.com/avcenter/venc/data/w32.elkern.3326.html
F-Secure Corp. Oct. 26, 2001
http://www.data-fellows.com/v-descs/klez.shtml
F-Secure Corp. Oct. 26, 2001
http://www.data-fellows.com/v-descs/elkern.shtml

分析:
 エフセキュア社の報告によると、Klezワームは、2001年10月26日の朝に、アジア地域、おそらく香港か中国で発生したとのこと。インターネット環境では Klezワームが何件か報告されているものの、それほど積極的には広まっていない。Klezは破壊的で、広まるにつれメールサーバーを停滞させてしまう。上記のようなメールを受けたユーザーは、添付ファイルを開いていなくても、ワームが感染している恐れがあるため、直ちにヘルプデスク又はネットワーク管理者に連絡する必要がある。

検知方法:
 WQK.EXEというファイルが見付かったら、Elkernによって感染された可能性がある。また、krn132.exeというファイルが存在する場合、そのコンピューターは Klezに感染されている恐れがある。

リカバリー方法:
 最新のアンチウィルスソフトにて、Klezワーム又は Elkernウィルスを検知できるはず。ウィルスを手動で取り除く場合、ウィルスが含まれている全てのファイルを削除する。そのためには、krn132.exe及び WQK.EXEを削除し、下記のキーをレジストリから削除する必要がある:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunWQKC:WINDOWSSYSTEMWQK.EXE

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunKrn132=C:WINDOWSSYSTEMkrn132.exe

 但し、上記作業を実施する前に、Windowsリジストリのバックアップを取ることをレコメンドする。

ベンダー情報:
 ほとんどのアンチウィルスメーカーは、Klez及び Elkernを探知・削除する更新定義ファイルをリリースしている。また、このワームが活用する脆弱性(ユーザーの許可なしでメール内の変形 HTMLメッセージが実行されてしまう)を是正する Outlookのパッチは、下記で入手可能:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp


(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【21:26 GMT、10、28、2001】


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. 「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術)

    「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術)

  2. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  3. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  4. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  5. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  6. WPA2の脆弱性「KRACKs」に注意喚起、通信を盗聴される可能性(JVN)

  7. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  8. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  9. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  10. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×