情報処理振興事業協会(IPA)セキュリティセンターやアンチウイルス・ベンダー各社は4月17日,コンピュータ・ウイルス「Klez」の変種が流行していることを警告した(関連記事)。
新たに出現した変種に対しては,たとえウイルス対策ソフトを使用していても,それ以降に公開されたデータ・ファイル(「ウイルス定義ファイル」や「パターンファイル」などと,ベンダーによって呼び名が異なる)に更新していないと発見できない。今後も新しい変種が出現する可能性が高いので,頻繁にデータ・ファイルを更新する必要がある。
併せて,対策ソフトで発見できない場合でも,ウイルスが勝手に発病しないようにように,Internet Explorer(IE)のパッチを適用しておくことも不可欠である。ただしパッチを適用していても,ウイルス・ファイルを実行してしまえば発病する。Klezは電子メールや共有フォルダを介して感染を広げるので,添付ファイルや共有フォルダ内のファイルを安易に実行してはいけない。
複数の変種が出回っている可能性が高い
今回新たに出現した変種の名称は,「Klez.H」や「Klez.G」,「Klez.I」などとベンダーによって異なる。また,ベンダーによってウイルスの説明内容が異なるため,すべてが同一のウイルスを指しているかどうかは明らかではない。実際には,複数の変種が出回っているようだ。ただし,いずれの変種も「Klez.E」と同じ特徴を持つ(関連記事)。具体的には,
- IEのセキュリティ・ホールを突く
- メールの件名,本文,添付ファイル名がランダム
- ネットワークを介して感染を広げる
- 毎月6日に感染マシン内のデータ(ファイル)を破壊する
- 送信者名を偽造する
などである。
次々と変種が出現する理由としては,「ウイルスのソース・コードが,どこかのWebサイトで公開されている可能性がある」(トレンドマイクロ)。マクロ・ウイルスやスクリプト(VBScriptなど)ベースのウイルスとは異なり,Klezは実行形式のウイルスである。そのため,ウイルス本体を持っていても,改変することはそれほど簡単ではない。しかし,ソース・コードが公開されていれば事情は異なる。ソースを一部改変してコンパイルすれば,変種を次々作れてしまう。
ただし,変種であろうとなかろうと,ユーザーの対策は変わらない。ウイルス対策ソフトを適切に使用する---すなわち,対策ソフトを常駐させて使用するとともに,データ・ファイルを絶えず更新する---ことが第一である。適切に使用していれば,万一ウイルス・ファイルを実行しようとしても,対策ソフトが実行を食い止めてくれる。
とはいえ,相次ぐ変種に,データ・ファイルが間に合わない場合も十分ある。その場合に備えて,IEのセキュリティ・ホールをふさぐ必要がある。ウイルスが勝手に実行されることを防ぐためだ。ふさぐ方法については,IPAセキュリティセンターの情報などに詳しい。
さらに,勝手に実行されることを防いでも,自分で実行してしまっては何にもならない。少しでも怪しいファイルは,決して実行してはならない。
◎参考資料
◆「W32/Klez」ウイルスに関する情報(IPAセキュリティセンター)
◆感染警報VAC-2 KLEZ新亜種「WORM_KLEZ.G」(トレンドマイクロ)
◆W32.Klez.H@mm(シマンテック)
◆W32/Klez.h@MM(日本ネットワークアソシエイツ)