サイトマップ
      トップ最新ウィルス情報

頻繁に来る「ウィルスメール・クレイズ」トホホホ 

7月に入って、ウィルスメールが来なくなったと喜んでいたら、このところ「クレイズ(W32/Klez)」が頻繁に来ます。
夜の11時頃発信されるようです。

そこでクレイズを調べてみました。
敵を知らず、己を知らないから、危ない事だらけ!・・・ん!?ちっと違うな。

正式名称 「W32 klez」 タイプ 「ワーム」 発病条件 「ファイルの実行」  動作 「ファイルの破壊、アンチウィルスソフトの無効化」
特徴として「ニムダ」から始まった「ダイレクトアクション機能」を持ってます。

さて、このダイレクトアクション機能が曲者で、webページを見るだけでも、メールの本文を表示しても、プレビューしても感染します。

このダイレクトアクション機能は「インターネット・エキスプローラー(IE)」の「MIME脆弱性」というセキュリュティ・ホールを利用しています。

Internet Explorer 用の累積的な修正プログラム (Q321232) で当てたパッチのセキュリュティ・ホールですね。

MIMEとは、画像や音声などを自動的に読み出す仕組みです。
MIMEによって、ファイルの種類を判断して、適切なアプリケーションを起動させて、ファイルを実行します。

ワームと言うのは、独立して活動できる「プログラム」ですから、ホームページを作成する時に使用する「タグ」のようなものです。
これは「実行ファイル」ですので、メールやホームページ上で動作する場合は「実行ファイル」だという事を示す「ポップ・ウィンドウ」が立ち上がります。

そこで、MIMEを偽って、「問題のないファィル」として認識させると、ユーザーの了承なしに実行ファイルが起動されてしまうわけです。

ダイレクトアクションの防御方法
Q321232パッチを当てる・・・終わり。(笑)

これで良いそうです・・・ニムダも防げます。

もう一つのクレイズの嫌な特性「アンチウィルスソフトの無効化」
これは、常駐ソフトの中にアンチウィルスソフトを見つけると「強制的に終了」させる、亜種によっては、レジストリを書き変えてアンチウィルスソフトを壊してしまうそうです。(≧∇≦)

「ウィルス・ドロッパー」と言う機能もあり「ELKERN]というウィルスを招き入れる役割もするそうで・・・怖い。

・・・で、このワームの目的は?
「職探し」(笑)
このワームのプログラムの中に「自分は両親の生活を支えなければならないのに、年収が5.500$しかない。  こんな事をして大変申し訳なく思っているが、パソコン技術はこの通り自信がある。  誰か私を雇ってください。」と、書かれているそうです。

その後のバージョンアップしたクレイズの亜種にも「急いで作ったので多分にバグがある」「とても面白い機能をつけた」と、書いてるそうです。
困ったもんだねぇ。