W32.Klez.H@mm 感染実験 環境 1FMV OS:Windows98S EMailer:Den8 MailServer:PMS Dmain:fmv.fmv Adress:fmv@fmv 2Vectra OS:Windows95 Mailer:OutLookExpress5.00 Adress:vectra@fmv ウイルス警告メッセージ(Norton) 日付: 2002/10/29 、 時刻: 20:37:50 、 Administrator (DELL-8100 上) 電子メールの添付ファイル (dcom13[2].pif) は W32.Klez.H@mm ウィルスに感染しています。 実験 上記2台をクロスケーブルで接続し,Fmvにメールサーバーを 立て、インタネット環境を作る W32.Klez.H@mmをFMV→Vetraに送信 OEで受信しプレビューで開いて状況確認 感染の確認 駆除ツール: FixKlez.com実行 最新版ウイルスソフトでのスキャン 実験結果1 古い版の Windows 95(4.00.950) をメールクライアントした場合 ウイルスはソケット関係のDLLを要求し自動実行も強制実行も不能でした Ws2_32.dllは Windows Socket 2.0 32-Bit DLL , Ws2help.dllは Windows Socket 2.0 Helper for Windows 98 でした。 上記2つのDLLを他のWindows98機のシステムホルダーよりコピーし感染対象機(vectra) のシステムホルダーに入れたところ、メールの表示操作で、添付ファイルは1つ(任意の無害なTXTファイル等)となり、ウイルスが実行されたようです。 この場合、OEの添付ファイル名はウイルスの本体ファイル(拡張子はbat pif scr等) と、任意の感染PC内のファイル(txt html 等)の2つになります。 検索したところ『Wink + [ランダムな文字列].exe』が生成されていました。 当該機を再起動し様子を見ましたが、大量メール発信等の兆候は全く見られませんでした。 いろいろ調べてみたのですが,Windows95 に winsock の 2.0 を入れるのは, 公式にはサポートされてないてない。少なくとも初期版のWindows95ではこのウイルスは 活動できないようです。 実験結果2-1 Windows98以降で無いと発症しない 急遽、感染機のOSをwindows98にアップグレードしました。即座にウイルスが活動開始しました。 OSやその他のプレインストールしてあったソフトのReadeMeファイルから探し出したと思われるアドレス当てメールを発信開始しました。 外部に接続してないので、多量に宛て先不明メールとして返送され、PMS(メールサーバー)ソフトの仕様と思われますが、添付ファイルは削除されたものです。 一晩放置しましたが、上記宛て先不明メールは何通か発信されましたが、感染機のアドレス帳にセットされていたメールアドレスには発信されません。 通常のインターネット環境に接続されているPCが感染した場合も、相当量の宛て先不明メールの返送があると思いますので、これで気が付くのではないでしょうか。 実験結果2-2 メールアドレスと判定する文字列は、@以下に1つ以上の「.」が必要 どうも@以下にドット(.)の入っていない文字列(fmv)だけではメールアドレスと判定しないようです。 メールサーバーのドメインをfmvからfmv.fmvに変更し、アドレス帳のアドレスも、例えば vctra@fmvからvectra@fmv.fmvに変更してセットすると、メールアドレスと認識してそのアドレスを宛て先や発信者にしてウイルスメールの発信を開始しました。 これはメールアドレスとして認識してリンクを張ってくれるテキストエディタ(例えば秀丸)と同じです。 SMTPサーバーとしては@以下にドット(.)の入っていない文字列(fmv)でもそれと認識して、それを利用します。 発信のタイミング 感染機を再起動すると、確実に何通か発信します。 1晩放置して置いた場合、3通発信しました。規則性はあまりないようです。 感染機のOEのメールアカウント(ログイン名、SMTPサーバーアドレス、パスワード等)を削除し、電信八号をインストールしアカウントを設定。再起動を繰り返してもウイルスの作動によるメールの発信は無い。電信八号の設定からはそのパソコンの持つ利用可能なSMTPサーバーの情報は取れないようだ。OEのアカウントを再設定すると又、ウイルスメールの発信を開始した。 ウイルス添付のメールがOEで実行されると、2つある添付ファイルの内、1つが添付ファイルとして表示される。ウイルス本体は添付ファイルとして見えない形になる。 見えている添付ファアイルを開くと、適当なTXTやHTMLのファイルで「これ何?」といったぐらいで見過ごさせる可能性が強い。 ウイルスの駆除 ウイルスの駆除前にアンチウイルスソフトのインストールは出来ない。 ワクチンFixKlez.comの利用(当然感染したウイルスを特定できないと利用できない) ワクチンソフトをダウンロードし(勿論感染してないPCを使って) FDに落として感染機のデスクトップに貼り付け 感染機をシャットダウンしてセーフモードで立ち上げ ワクチンFixKlez.comをダブルクリック ワクチンソフトはセーフモードで使用しないと一部駆除できないことがあるようだ FixKlez.log The file
"c:\Program Files\Symantec\LiveUpdate\LUALL.EXE" is infected by
W32.Klez.gen@mm. The file is repaired. The file
"c:\RECYCLED\DC4.PIF" is infected by W32.Klez.gen@mm. The file is
deleted since it is unrepairable. The
W32.Klez.gen@mm/W32.ElKern.gen infection removal
was unsuccessful. The tool could not
delete 1 viral file(s) from your PC. Please
boot into Safe mode and run this tool again. Files that could
not be repaired or deleted by this tool must be removed manually. Check
the log file for a list of files that could not be deleted. The total number
of the scanned files: 3900 The number of
deleted files: 45 The number of
repaired files: 13 The number of
viral processes terminated: 0 The number of
viral services deleted: 0 The number of registry entries fixed: 1 |