こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

klezについて教えてください

最近社内のPCがklezに感染している可能性が非常に高いのですがウイルスが発見されません。

ある1つのアドレスにklezのウイルスメールがよく届きます。
このアドレスはインターネット上にオープンにしてあるアドレスで送信用に使用はしておらず、受信も社内ではしておりません。(いくつかのアドレスに転送しています。)
また、このアドレス宛に「ウイルスメールがこのアドレスから届きました」というメールも時々受け取ります。mailer-daemonからのメールもよく届くので感染している可能性は高いと思い、ウイルスチェックしたのですがウイルスは発見されませんでした。(ノートンアンチウイルス2000にて検索。ウイルス定義は更新。)

で、今またmailer-maemonからのメールが届いたのでヘッダを見てみたのですが、間違い無く、うちのメールサーバから送られているもののようです。感染の可能性としては非常に高いと思われるのですが、ウイルス検索で発見されない、という事は考えられるのでしょうか。

また、感染経路についてなのですが、oeを使用していなくてもieのバージョンが適切でないとプレビューすると感染するのでしょうか。

あと、感染ファイル(exeやpif)を保持していても何らかの症状が出るのでしょうか。

どう考えても感染しているとしか考えられないのですが、ウイルスが発見されないためとても困っています。

何卒よろしくお願いいたします。

投稿日時 - 2002-05-20 11:00:22

QNo.274428

すぐに回答ほしいです

質問者が選んだベストアンサー

> このアドレス宛に「ウイルスメールがこのアドレスから届きました」という
>メールも時々受け取ります。mailer-daemonからのメールもよく届くので

klezの場合は、これが届くPCはほとんど感染していません。
Klez亜種もかなり出現していますが、最新のウイルスデータをアップデートしてスキャンしてウイルスが発見されなかったということであれば、感染の可能性は非常に低いでしょう。
亜種だとしても共通のファイルを持っているわけですから、感染していた場合はどれかのファイルがウイルスチェックで引っかかる筈です。

> mailer-maemonからのメールが届いたのでヘッダを見てみたのですが、
> 間違い無く、うちのメールサーバから送られているもののようです。

Received:の部分でしょう!
ウチに送られてきた不達通知のメールもみんなそうなっています。
ウチではノートンインターネットセキュリティ2002で毎日のようにウイルスチェックを行い、さらにレジストりーが書き加えられていないか調べておりますが、そのような事実も全くありません。

ウチの場合、万単位のPCにウチのメルアドが保存されていますから、大騒ぎになる1ヶ月位前に、既にklezによる不達通知が数多く届いており、しばらくどういうことか理解出来ませんでした。

最近ではめっきり届く数が少なくなりましたが、感染したPCの多くがklezによってPC内のファイルが破壊されてしまったかも知れませんね。

今後はブラウザはネットスケープ・メーラーはOE以外のものを使うべきでしょう!

投稿日時 - 2002-05-20 19:14:49

お礼

本当ですか?否定の言葉を頂いてとてもうれしいです!

>Received:の部分でしょう!
>ウチに送られてきた不達通知のメールもみんなそうなっています。

Recieved:の部分もそうですが結構普通のmailer-daemonからのメールと共通点が多いのは事実ですので実際わけがわかりません。

半分くらいは終わったのでどちらにしても全てのPCのチェックはしてみようと思います。でも、だいぶ気が楽になりました。どう考えても感染しているとしか思えなかったので…。

どうもありがとうございました。

投稿日時 - 2002-05-20 20:28:52

ANo.5

このQ&Aは役に立ちましたか?

3人が「このQ&Aが役に立った」と投票しています

回答(6)

ANo.6

No.5の続きです。

> 半分くらいは終わったのでどちらにしても全てのPCのチェックはしてみようと思います

klezの場合はランでつながっているPCに次々と感染していく性質があります。
半分程度終わったところで感染が無ければ、他のPCの感染も無い可能性が高いでしょう!

抗議メールを受け取る等、いやというほど不達通知のメールやウイルス警告メールを受け取ってきた身としては、御社のPCの感染の可能性はほぼ無いだろうというのが結論です。

投稿日時 - 2002-05-21 20:18:20

お礼

素晴らしいです!
ただ今、ウイルスチェック完了しまして感染はありませんでした!

でも恐ろしいですね。mailer-daemonからのメールはヘッダ情報やメールの形式まで普通に帰ってくるメールとほとんど同じでしたよ。
これで、ウイルスメールを受け取りました、というメールを受け取っても安心していられます。

どうもありがとうございました。

投稿日時 - 2002-05-21 21:33:14

ANo.4

>これはたとえばAというPCが感染して、BというPCのCドライブが共有になっている場合、BのCドライブにコピーしていくという事でしょうか。

そうです。その際、ランダムなファイル名でコピーを作成しますので、ファイル名を見ただけではウイルスかどうか判別するのは難しいかもしれません。ただし、拡張子が二重になることがありますので、そのようなファイルがあれば、感染を疑う必要があります。

詳しくは、参考URLをご覧ください。
http://www.trendmicro.co.jp/klez/whats.asp

参考URL:http://www.trendmicro.co.jp/klez/whats.asp

投稿日時 - 2002-05-20 18:46:00

お礼

回答ありがとうございます。

>そうです。その際、ランダムなファイル名でコピーを作成しますので、ファイル名>を見ただけではウイルスかどうか判別するのは難しいかもしれません。ただし、拡>張子が二重になることがありますので、そのようなファイルがあれば、感染を疑う>必要があります。

ですよね。一応感染の可能性があったときも社内ネットワーク上をくまなく探してみたのですがそのようなファイルは探しても見つからなかったんですよね。

一応今のところ半数くらいウイルスチェック行ったのですが、感染は見つかりませんでした。

投稿日時 - 2002-05-20 19:49:26

ANo.3

まだワクチンが開発されていない最新のKlez亜種であるためにウイルスチェックしても検出されないということも考えられなくはありませんが、感染していない可能性の方が高いように思います。

むしろ、社内の別のマシンが感染しているのではないかと思います。

今年1月に出現したKlezの亜種は、感染したパソコン内のhtmlファイルからもウイルスメールの送信先アドレスを収集します。つまり、アドレス帳に登録されていないメールアドレスでも利用される可能性があるということです。

問題のアドレスはインターネット上にオープンにしているということですので、そのアドレスが送信者名として利用されているのでは?

その場合、Klezが自動送信したウイルスメールが何らかの理由で配信不能だった場合、mailer-daemonから問題のアドレスへリターンメールが届きます。

したがって、mailer-daemonからメールが届いただけでは感染しているとは言えません。むしろ、問題は、ヘッダに会社のメールサーバが記載されている点です。ということは、社内の別のマシンが感染しているということではないでしょうか?

>oeを使用していなくてもieのバージョンが適切でないとプレビューすると感染するのでしょうか。

OEを使用していなくても、MSIEコンポーネントを使用するメーラーであれば、プレビューしただけで感染するおそれがあります。

>感染ファイル(exeやpif)を保持していても何らかの症状が出るのでしょうか。

OEなどのメーラーでプレビューしなくても、フォルダを開いた際に左側に表示されるファイルのプレビューでも感染します。感染すると、ウイルスメールを自動送信し、共有ドライブへのコピーで増殖します。セキュリティソフトの機能を麻痺させます。奇数月の6日にファイル破壊活動を行います。

今すぐ、社内のすべてのマシンのウイルスチェックを実行なさることをお奨めします。

詳しくはトレンドマイクロまたはシマンテックのサイトにあるKlez情報を参照してください。

投稿日時 - 2002-05-20 12:36:11

お礼

詳しい回答ありがとうございます。

やはりどれか感染していますよね。
業務に支障をきたすし時間がかかるため、全PCのチェックはやりたくなかったのですが…。
可能性の有りそうなPCに関しては行ったのですが、やはり全PCのチェックを行ってみます。

あと、いくつか質問させてください。

>感染すると、ウイルスメールを自動送信し、共有ドライブへのコピーで増殖します

との事ですが、これはたとえばAというPCが感染して、BというPCのCドライブが共有になっている場合、BのCドライブにコピーしていくという事でしょうか。
そういう事だと、ウイルス感染ファイルは結構発見されても良いという事ですよね。
また、その場合、共有ドライブにコピーされたウイルスは見ることが出きるのでしょうか。
たとえばネットワークコンピュータから他のPCの共有ファイルを開くと見えるとかあるのでしょうか。

投稿日時 - 2002-05-20 13:55:52

ANo.2

パターンファイルは最新のものでしょうか?
もし心配でしたら、無料のウィルスチェックを利用して確認しましょう。
トレンドマイクロ/オンラインスキャン
http://www.trendmicro.co.jp/hcall/scan.htm
KLEZは送信者名を偽称しますが、DAEMONから返ってくるのは感染してる確率が高いですね。
ぜひ上記で確認してみてください。

参考URL:http://www.trendmicro.co.jp/hcall/scan.htm

投稿日時 - 2002-05-20 11:43:56

お礼

早速の回答ありがとうございます。
パターンファイルは最新のものです。

社内に感染の可能性は高いと思うのですが、どれか感染してたらもっといろんなアドレスに送られると思うんですよね。

オンラインスキャンもしたのですが、メールフォルダの中に送られてきた感染ファイルが発見されることはされるんです。でもこれは、感染ファイル自体を開かなければ問題ないですよね。

どちらにしてももう一度全部ウイルスチェックしてみます。

投稿日時 - 2002-05-20 12:13:26

ANo.1

トレンドマイクロ社のオンライン検索を使用してみてはいかがですか?

また、メールサーバーだけでなくLANに接続されているPC全てのウィルス
チェックをされたほうがいいかも・・・

投稿日時 - 2002-05-20 11:04:01

あなたにオススメの質問