Nimdaと同じセキュリティホールを利用する「Klez.A」

　Nimdaが利用しているセキュリティホールと同じ物を利用するワーム型ウイルス「Klez.A」が発見された。
　このウイルスは、E-Mailに自身のコピーを添付して送信すると同時に、ネットワーク上にある全ての共有ドライブに自身をコピー。Nimdaと同様に、Internet Explorer

脆弱性と脅威脅威動向

2001.10.31 Wed 12:00

　Nimdaが利用しているセキュリティホールと同じ物を利用するワーム型ウイルス「Klez.A」が発見された。
　このウイルスは、E-Mailに自身のコピーを添付して送信すると同時に、ネットワーク上にある全ての共有ドライブに自身をコピー。Nimdaと同様に、Internet Explorerのセキュリティホールを悪用し、メールがプレビューされただけで活動を開始する。また、アンチウイルスソフトを停止するプロセスも組み込まれており、注意が必要だ。

　なお、届いたメールの内容は基本的に不定だが、以下のメッセージが記載されている。

I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?

　また、ランダムなファイル名のEXEファイルが添付されており、このファイルを実行すると感染してしまう。

　感染したマシンは、メモリにウイルスが常駐。Windowsのシステムディレクトリに以下のファイルを作成する。

・KRN132.EXE
・wqk.exe（以前発見されたウイルス「PE_ELKERN.A」）

　さらに、レジストリを編集し、以下のようなエントリを作成。自動で実行できるようにしてしまう。

場所：
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
　　値：Krn132 = ＜Windowsのシステムディレクトリ＞Krn132.exe
　　値：wqk = ＜Windowsのシステムディレクトリ＞wqk.exe

　関係各所の対応状況は以下の通りである。

▼トレンドマイクロ
　パターンファイル960または160以降で対応。

ウイルス詳細：
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_KLEZ.A
パターンファイルダウンロードサイト：
http://www.trendmicro.co.jp/support/index.htm

▼シマンテック
　10月26日付の定義ファイルで対応。

ウイルス詳細：
http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.a%40mm.html
定義ファイルダウンロードサイト：
http://www.symantec.com/region/jp/sarcj/defs.download.html

▼日本ネットワークアソシエイツ
　DATファイル4168以降、エンジンバージョン4.0.70以降で対応。

ウイルス詳細：
http://www.nai.com/japan/virusinfo/virK.asp?v=W32/Klez@MM
DATファイルダウンロードサイト：
http://www.nai.com/japan/download/dat.asp

▼日本エフ・セキュア
　マイクロソフト社から配布されているパッチの摘要を推奨。

ウイルス詳細：
http://www.f-secure.com/v-descs/klez.shtml

▼シー・エス・イー
　最新の定義ファイルにて対応。

ウイルス詳細：
http://www.cseltd.co.jp/security/sav/virusinfo/analyses/w32klez.htm