|
【ウィルス】 「Klez.Hに機密漏洩機能あり」とロシアのセキュリティー会社が警告
■URLhttp://www.kaspersky.com/news.html?id=570164 http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.h@mm.html http://vil.mcafee.com/dispVirus.asp?virus_k=99455 ロシア、英国、米国に本拠を持つセキュリティー会社Kaspersky Labsは19日、先週から感染被害を拡大しているコンピューターウィルス「Klez.H」に機密漏洩機能が備わっている可能性があると警告した。 Kaspersky Labsの発表によると、Klez.Hはいったん感染すると「.txt」「.html」「.doc」「.xls」「.cpp」「.c」「.pdf」などさまざまな書類のファイルを検索し、一定の条件が整ったときにこれらのファイルをウィルスと共に外部に送信する機能が備わっているという。 機密漏洩を行なうウィルスはKlez.Hが初めてではなく、2001年に流行し現在も感染が報告されている「Sircam」も同様の機能を持つ。 Sircamは世界中の企業や政府機関から重要文書を漏洩させ、甚大な被害をもたらしたことでよく知られている。 Klez.Hの場合、文書や会計資料にとどまらず重要なシステムのソースコードが流出することも考えられ、十分な注意が必要だ。 しかしその一方でKlez.Hには、それ以前のKlezに特徴的だったコンピューターのデータを破壊する機能が備わっていないという。 Kaspersky Labsの警告の後、一部の報道ではKaspersky Labsの発表を再確認することができなかったとの報告もあったが、大手セキュリティー会社が分析を続けた結果、現在ではシマンテック、米McAfeeもこの情報を確認している。 Mcafeeの分析では添付されるファイルはランダムに選ばれるが、Sircamの場合とは異なりウィルスが感染していない「クリーン」なファイルとして別に添付されるとしており、この場合機密漏洩の危険性が一層高まる可能性がある。 ◎関連記事 ■ウィルス「Klez.E」亜種の感染が拡大〜最新のパッチをあてる必要あり ■IPA、「W32/Sircam」ウィルスを危険度が高いとして警告 (2002/4/22) [Reported by taiga@scientist.com] |
|
【ウィルス】 ウィルス「Klez.E」亜種の感染が拡大
■URL〜最新のパッチをあてる必要あり http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.h@mm.html (シマンテック) http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.G (トレンドマイクロ) http://www.trendmicro.co.jp/virusinfo/news2002/worm_klez_g.asp http://vil.mcafee.com/dispVirus.asp?virus_k=99455 (McAfee) http://www.messagelabs.com/viruseye/toptrump.asp?wi=W32/Klez.K-mm (Messagelabs) http://www.centralcommand.com/april1702.html (Central Command) http://www.f-secure.com/v-descs/klez_h.shtml (F-Secure) 被害の拡大を続けるコンピューターウィルス「Klez.E」の亜種が16日発見された。 アジア、ヨーロッパ、米国で急速に被害を拡大し続けており、現在、セキュリティー各社が警告を発している。 このウィルスは、各セキュリティーベンダーによって名称や提供されている情報内容が異なるが、いずれもKlez.Eの亜種で、「Klez.g」、「Klez.h」、「Klez.k」などと名付けられている。 MessageLabs社によると、このウィルスは中国で発生したと考えられ、現在、台湾、香港などを中心に拡大を続けているという。 このウィルスは、サブジェクトの文面が場合によって異なっている。 ランダムに選択された文字列の場合と、幾つかの候補からなる文字列から選ばれる場合があり、セキュリティーベンダーが提供しているサブジェクトの情報だけからウィルスを特定できない場合もある。 報告によれば、「Trendmicro」「Symantec」「McAfee」など単語が含まれた、もっともらしい文章と共に送りつける場合もあるので、そうした文章にだまされないことが重要だ。 実際にセキュリティーベンダー各社が添付ファイルの形でアップデートファイルを送ることはない。 また、Klezには「.bat」「.exe」などの実行可能な添付ファイルがついてくるが、この添付ファイルを意図的に実行しなくても、Microsoft Outlook、Outlook Expressをメールクライアントとして使用している場合、既に知られているバグをついて自動的にメールを開封する同時に感染する可能性がある。 したがってMicrosoftが提供している最新のパッチを当てることも感染を防ぐために重要だ。 なお、Klez.Eや今回発見されて感染を続けているKlez.Eの亜種は、感染したPCの中にある「.txt」「.doc」「.pdf」など保存してある多くのファイルを分析し、その中に含まれている過去に送ったメールのヘッダー情報をコピーし、送りつけるウィルスのヘッダーを偽造する。 そのため「From:」欄が詐称されるので、「ウィルスメールの送り主が必ずしも感染源であるとは限らないこと」に注意が必要だ。 まったく無関係な第三者があたかもウィルスの送り主であるかのように疑われる可能性もあり、企業などの場合には信用問題に関わることから担当者は十分な知識を得ておく必要があるだろう。 セキュリティーベンダー各社はすでにウィルスデータのアップデートを済ませており、利用者はアンチウィルスソフトのアップデートを早急に行なうほか、Internet ExplorerやOutlookに最新のパッチを当てることが重要だ。 そして最も重要なこととして、予期せぬ相手から予期せぬメールが届く場合には絶対に添付ファイルを開かないという鉄則を徹底して守ることだ。 ◎関連記事 ■悪質ウィルス「Klez.E」が6日に発症〜ファイル削除・メールのヘッダを偽造 (2002/4/18) [Reported by taiga@scientist.com] |
|
【ウィルス】 悪質ウィルス「Klez.E」が6日に発症
〜ファイル削除・メールのヘッダを偽造 ■URL http://www.f-secure.com/news/2001/news_2002030500.shtml http://www.europe.f-secure.com/v-descs/klez_e.shtml http://www.ipa.go.jp/security/topics/newvirus/klez.html (IPA) http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.e@mm.html (シマンテック) http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.E (トレンドマイクロ) 今年1月に発見されたコンピューターウィルス「Klez.E(W32.Klez.E@mmなどの別名でも知られる)」が「6日」に主要なファイルをすべて削除するなど悪質な行動に出ることから、セキュリティー企業のフィンランドF-Secureや米Central Commandなどがユーザーに注意を呼びかけている。 このウィルスは未知のウィルスではないため、すでにセキュリティー企業各社はアンチウィルスソフトで対処できるようにしてある。 ユーザーは最新のデータにアップデートし、自分のPCが感染していないか確認できる。 Klez.Eは1月に発見されている。発見当初は、これまでに見つかっていた「Klez.A」の亜種として一般的なワームと同様にアドレス帳にあるアドレスに添付ファイルとして送りつける活動に注意が向けられていた。 しかし、セキュリティー各社がウィルスの分析を進めた結果、毎月6日に「ほとんどのファイルを書き換えること」、「インストールされているアンチウィルスソフトの活動を止めること」、「添付して送信されるウィルスメールのヘッダを書き換え自分を偽装する こと」など、極めて悪質な活動することが判明してきた。 セキュリティー各社の情報によると、これらはいずれも2月終わりから3月初めにかけて判明したようだ。 MessageLabsの調査によれば、現在、Klez.Eは世界で2番目に活動しているウィルスで、そのため今回の3月6日の発症によって甚大な被害が生じる恐れがあると考えられている。 一度ウィルスが発症すると、すべてのexeファイルを書き換えて元のファイルを「隠しファイル」として見えなくするだけでなく、WordやExcel、テキスト、MP3ファイルなどほとんどのファイルを書き換えて呼び出すことができないようにする。 さらにNimda、Sircam、Funlove、CodeRedなどのウィルスの活動を止め、同時にアンチウィルスソフトの活動を停止させる。 また、特徴的なのは、添付して送り出されるウィルスファイルのヘッダ情報を書き換える点だ。 これまではヘッダの情報からウィルスに感染している送信者が判明し、対処につながることが多かった。 しかしKlez.Eの場合メール送信者のアドレスは感染したPCの中にある勝手なアドレスによって書き換えられているため、受取人がウィルス感染者を特定することができない。 したがって場合によっては自分の会社のPCが1台も感染していないにもかかわらず、全く関係のない第三者にその企業の名前を語ってウィルスメールが送りつけられる危険性がある。 信用問題に発展する可能性もあることから、ウィルスに関する知識を蓄えて説明できるようにしておく必要があるだろう。 また、シマンテックによると、一見「メールサーバーから戻されたメール」に見える様式で届いたという報告も寄せられているとのこと。 (2002/3/6) [Reported by taiga@scientist.com] |