1. FMV　OS:Windows98SE　Mailer:Den8
   MailServer:PMS　Domain: fmv
   MailAdress: fmv@fmv
   
2. Vectra　OS:Windows95　Mailer:OutLookExpress5.00
   MailAdress: vectra@fmv

• 上記２台をクロスケーブルで接続してローカルにインタネット環境を作る

ウイルス警告メッセージ（Norton)

日付: 2002/10/29 ､ 時刻: 20:37:50 ､ Administrator (DELL-8100 上)
電子ﾒｰﾙの添付ﾌｧｲﾙ (dcom13[2].pif) は W32.Klez.H@mm ｳｨﾙｽに感染しています｡

• 上記ウイルス添付メールがniftyのメールサーバに来信した事を確認し「電信８号」で受信し、TXT形式で保管中

• 保管中のウイルス添付メールを実験環境の　１ FMV の「電信８号」の送信用メールホルダーにセットし、ヘッダーの送信先アドレスのみ　２　Vectra 宛てに書き換える
• 上記メール（W32.Klez.H@mm付)を　FMV　→　Vetra　に送信
• ＯＥで受信しプレビューで開いて状況確認
• 場合によってはウイルス部分を切り出してデコードして実行
• 感染の確認
• 駆除ツール: FixKlez.com実行
• 最新版ウイルスソフトでのスキャン

• 結果については次号報告

• WindowsのSystemフォルダに自分自身をWINK+[ランダムな文字列]+.EXEとしてコピーする、そして、Windowsが起動するたびにウイルスが実行されるようにレジストリの変更を行う
  
• 感染先のファイルのコピーを作成して隠しファイルとして保存、保存されたコピーは暗号化されるが、感染性のあるデータは何も含まれていない状態で保存される
  隠しファイルのファイル名は、元のファイル名にランダムな拡張子が付いたものになる
  
  発病症状
  
• 毎月6日に発病し、C ドライブのデータを破壊
  
• 大量メール送信: Windowsのアドレス帳、ICQデータベース、ローカルファイルから探し出したメールアドレスすべてに対し、自分自身を添付した電子メールを送信する。
  このワームは独自のSMTPエンジンを使い、利用可能なSMTPサーバーを推測することでメール送信を実行する
  メールの件名、本文、添付ファイル名はランダム。差出人のアドレスは、感染先コンピュータ上で発見したメールアドレスからランダムに選択されたものが使用される
  感染先コンピュータ上で発見したメールアドレスからランダムに選択したものを「差出人」欄に表示するアドレスとして使用する
  添付ファイル名はランダムなファイル名＋.bat、.exe、.pif、.scr
  
• 秘密情報の漏洩: ワームファイルの送信時、感染先マシン上にあるファイルからランダムに選択した１ファイルを添付する
  
  感染の確認
• 　 最新のワクチンソフトで検査を行う。但し、既にW32/Klezに感染している場合には正常に検査が出来ない場合もあり、その際にはWindowsのシステムフォルダ内(C:\Windows\System またはC:\Winnt\System32)を検索して　「Wink + [ランダムな文字列].exe」　という名称のファイルが見つかれば、感染している可能性が高い