実験環境
- FMV OS:Windows98SE Mailer:Den8
MailServer:PMS Domain: fmv
MailAdress: fmv@fmv
- Vectra OS:Windows95 Mailer:OutLookExpress5.00
MailAdress: vectra@fmv
- 上記2台をクロスケーブルで接続してローカルにインタネット環境を作る
使用ウイルス
ウイルス警告メッセージ(Norton)
日付: 2002/10/29 、 時刻: 20:37:50 、 Administrator (DELL-8100 上)
電子メールの添付ファイル (dcom13[2].pif) は W32.Klez.H@mm ウィルスに感染しています。
- 上記ウイルス添付メールがniftyのメールサーバに来信した事を確認し「電信8号」で受信し、TXT形式で保管中
実 験
-
保管中のウイルス添付メールを実験環境の 1 FMV の「電信8号」の送信用メールホルダーにセットし、ヘッダーの送信先アドレスのみ 2 Vectra 宛てに書き換える
- 上記メール(W32.Klez.H@mm付)を FMV → Vetra に送信
- OEで受信しプレビューで開いて状況確認
- 場合によってはウイルス部分を切り出してデコードして実行
- 感染の確認
- 駆除ツール: FixKlez.com実行
- 最新版ウイルスソフトでのスキャン
結 果
W32.Klez.H@mm (発見日: 2002年4月17日)について
情報処理振興事業協会セキュリティセンター(IPA/ISEC)他より
-
WindowsのSystemフォルダに自分自身をWINK+[ランダムな文字列]+.EXEとしてコピーする、そして、Windowsが起動するたびにウイルスが実行されるようにレジストリの変更を行う
- 感染先のファイルのコピーを作成して隠しファイルとして保存、保存されたコピーは暗号化されるが、感染性のあるデータは何も含まれていない状態で保存される
隠しファイルのファイル名は、元のファイル名にランダムな拡張子が付いたものになる
発病症状
- 毎月6日に発病し、C ドライブのデータを破壊
- 大量メール送信: Windowsのアドレス帳、ICQデータベース、ローカルファイルから探し出したメールアドレスすべてに対し、自分自身を添付した電子メールを送信する。
このワームは独自のSMTPエンジンを使い、利用可能なSMTPサーバーを推測することでメール送信を実行する
メールの件名、本文、添付ファイル名はランダム。差出人のアドレスは、感染先コンピュータ上で発見したメールアドレスからランダムに選択されたものが使用される
感染先コンピュータ上で発見したメールアドレスからランダムに選択したものを「差出人」欄に表示するアドレスとして使用する
添付ファイル名はランダムなファイル名+.bat、.exe、.pif、.scr
- 秘密情報の漏洩: ワームファイルの送信時、感染先マシン上にあるファイルからランダムに選択した1ファイルを添付する
感染の確認
-
最新のワクチンソフトで検査を行う。但し、既にW32/Klezに感染している場合には正常に検査が出来ない場合もあり、その際にはWindowsのシステムフォルダ内(C:\Windows\System またはC:\Winnt\System32)を検索して 「Wink + [ランダムな文字列].exe」 という名称のファイルが見つかれば、感染している可能性が高い
|