情報処理振興事業協会(IPA)セキュリティセンターは4月2日,コンピュータ・ウイルス「Klez.E(Klez-E)」の感染が広がっていることを改めて警告した。同ウイルスが発病すると,ウイルス・メールを多数のユーザーに送信するとともに,毎月6日にはパソコン内のファイルを破壊する(関連記事)。
「Internet Explorer(IE)のセキュリティ・ホールをふさぐ」,「ウイルス対策ソフトを適切に使用する」,「添付ファイルを安易に実行しない」といった対策を施していれば感染することはない。
IEのセキュリティ・ホールを悪用,データの破壊も
Klez.E は,IE のセキュリティ・ホールを悪用するウイルスである。IEのモジュールを使うメール・ソフト(Outlook/Outlook Expressなど)を使用している場合には,メールを開いたりプレビューするだけでウイルスが実行されて発病する恐れがある。
ただし,これら以外のメール・ソフトを使用している場合やIEのセキュリティ・ホールをふさいでいる場合でも,ウイルス・ファイルを実行してしまえば,発病して被害を受ける。
発病すると,アドレス帳やパソコン内のファイル(HTMLファイルやテキスト・ファイルなど)に記載されたメール・アドレスすべてに,ウイルス自身を添付したメールを送信する。
また,アクセス可能な共有フォルダにもウイルス自身をコピーする。
さらに,毎月6日になると,感染しているパソコンのCドライブにある,特定の拡張子(.txt,.html,.doc など)を持つファイルを破壊する。具体的には,ファイルの中身を「0」で上書きする。1月6日および7月6日だけは,拡張子によらずファイルを破壊するという。
送信者を“詐称”する
Klez.Eが添付されたメールの件名や本文は,ランダムな英文(英単語)である。Klez.Eウイルス自身である添付ファイルの名前は,拡張子が「.bat」「.exe」「.pif」「.scr」のいずれかの,ランダムな英文(英単語)となる。
なお,メールにはKlez.E以外のファイルも添付される。パソコン内の「.jpg」あるいは「.html」ファイルがランダムに選択されて添付されるという。【4月4日 IT Pro追記】「.jpg」あるいは 「.html」以外のファイルが添付される可能性もあるようだ。実際編集部には,送信者のパソコン内から選択されたと思われる「.doc」ファイルが,ウイルス・ファイルとともに添付されて送られてきた。
また,共有フォルダにコピーされた場合には,Klez.Eのファイル名は「ランダムな文字列+ランダムな拡張子+.exe あるいは .rar」となる。
ウイルス・メールの送信者名(From)には,アドレス帳やパソコン内のファイルからKlez.Eが収集したメール・アドレスの一つが使われる。つまり,ほとんどの場合,実際にウイルス・メールを送信したユーザー以外のアドレスが使用される。そのため,メールの受信者は,送信者がウイルスに感染していることを直接通知できない。
届け出は増加の一途
Klez.E は2001年11月に出現した「Klez」ウイルスの変種である。IEのセキュリティ・ホールを悪用する点とウイルス・メールを送信する点は同じだが,それら以外の発病挙動はKlez.E特有のものだ。Klez.Eが出現したのは2002年1月。以来IPAセキュリティセンターへの発見および被害の届け出数は増加しているという(関連記事)。
トレンドマイクロが4月3日に公開した「マンスリーレポート」においても,オリジナルおよび変種を合わせた「Klez」ウイルスの届け出件数は増加している。2月中の届け出が71件だったのに対して,3月には298件である。同社によると,届け出の8割がKlez.Eだという。
通常のウイルス対策で防げる
複数の“凝った”発病メカニズムを持つ Klez.E ではあるが,「ソフトウエア(特にIE)のセキュリティ・ホールをふさぐ」,「ウイルス対策ソフトを適切に使用する」,「添付ファイルを安易に実行しない」――といった,通常のウイルス対策を施していれば心配は無用だ。IT Pro読者のほとんどは既に対策済みだと思うので,ぜひ周りのユーザーなどに対策の必要性を呼びかけていただきたい。
なお,Klez.Eが悪用するのは,2001年3月に公開された古いセキュリティ・ホールである。そのため,以後に公開されたService Pack(SP)やIEのバージョンでは修正されている。具体的には,IE 5.5 SP2 やIE 6(標準構成以上)では修正されている(SPの適用やバージョンアップには「ホームユーザー向け セキュリティ対策 早わかりガイド」が分かりやすい)。
もちろん脅威はKlez.Eだけではない。「Windows Update」や「TechNetセキュリティセンター」などを利用して,絶えず最新のパッチを適用するようにしたい。
◎参考文献
◆「W32/Klez」ウイルスの亜種に関する情報
◆トレンドマイクロ、ウイルス感染被害マンスリーレポート 【2002年3月度】
