WORM_KLEZ.Hに感染してみました

2002年5月7日午後に,最近流行のコンピュータウィルスWORM_KKEZ付きのメールを初めて受け取りました。
何気ない件名だったのでおもわず開いてしまったのですが,本文がカラで,添付ファイルが2つくっついてました。
「あ,ウィルスだ」と思って,添付ファイルには手をふれずに即削除。
幸いOutlook Express5.5にはSP2パッチやその後に出たすべてのセキュリティパッチが当ててあったの何事もありませんでした。
でも,考えてみたらIEやOEにはまだ発見されていないセキュリティホールがあるだろうから,僕たちはいつも危険と隣り合わせだってことになります。
ウィルス対策ソフトの定義ファイルだって,知られていなかったセキュリティホールを突いてくるウィルスが発見されてしばらくたたないと更新されないんだから,
あんまり意味がないのかもしれません。(だから僕はこの手のソフトを持ってませんでした)
それでも何か対策を考えといた方がいいかなあと思って調べてたら,「GoBack3」というソフトを発見。
これをインストールしておけば,パソコンの具合が悪くなってWindowsが起動できなくなっても正常起動できた状態に"Go Back"できるんだそうです。
最新のウィルスに感染してWindowsのシステムが破壊されても平気ってことですよね。
このページを見て,購入を決意しました。値段も安いんです。
Niftyの【理科の部屋2】でそんな書き込みをしたら,試用感を教えてくれというリクエストがあったので「よし一度ウィルスに"感染"してみるか」などと,
とんでもないことを考えてしまいました。この軽率さがいかにものらねこ学会のメンバーらしいですなあ。ははは。


うちに3台ある自作パソコンのうち,4年前に作ったこの"初号機"をウィルスに"感染"させてみることにしました。

スペックを紹介すると,
マザーボードは,ASUSのP2B(チップセットは440BX・・・当時の定番でしたね)
CPUは,PentiumU 300MHz
メモリは,256MB
ハードディスクは,6GB
OSは,Windows2000Pro SP2(さらに,実験前にWindowsUpdateで最新の修正パッチを当てました)
もちろん4年前はWin98でしたが,2年くらい前にWin2000に入れ替えました。
ブラウザは,Internet Explorer 5.5 SP2(これも最新のセキュリティパッチを当てました)
メーラーは,Outlook Express 5.5 SP2(同上)

メインマシンをPen3 866MHzの自作機に替えてからは,ライブカメラの実験のために1ヶ月間電源を入れっぱなしにしたり,
自宅サーバを立ててストリーミング配信の実験をしたり等々,激しい使い方をしてましたが,最近は隠居して(?),
子どものおもちゃになってました。

ひょっとすると,この実験が最期の"お務め"になるかも。
とりあえず,「GoBack3」をインストールし,アドレス帳は僕以外のメールアドレスを全部削除し,IEのキャッシュもクリアしました。
これでウィルスに感染しても誰にも迷惑がかからないはずです。
当然,LANでつながっている他のPCは全部電源を落としました。これで準備完了です。



これがKLEZのウィルスメール。
この文面にだまされてはいけません。ここで紹介されているのと同じじゃありませんか。

メールヘッダを見ると,ここ2週間毎日のようにウィルスメールを送ってくる人(実際はPCが勝手に送ってくるんだけど)だと分かりました。
●■県の教育関係者のようです。早く気づけよな〜。(^_^;)

ご存じだと思いますが,KLEZは送信元を偽装するので注意が必要です。詳しくはこちら
なお,【理科の部屋2】でも指摘されましたが,コンピュータウィルスの中にはBIOSを破壊する過激なもの(W95.CIHなど)もありますから,注意が必要です。
KLEZは,パソコン内にある他のウィルスまで一緒に運んできたりするタチの悪いやつなんです。
ですから,FlashROMにBIOSを書き戻せるだけのスキルとツールを持った人か,僕のように軽率な人以外はこんな実験をしてはいけせん。マザーボードをメーカーに送らなくてはならない羽目になります。BIOSの書き戻しをメーカーに依頼するといくらかかるんでしょうね。
そういえば\2000出すと,BIOSを書き戻してくれるこんな業者もあるみたいですよ。って煽ってどうする。

まあ,僕にこのメールを送ってくるこの人のPCは少なくとも2週間は"生きてる"わけだから,たぶんBIOSを破壊するような悪さはしないでしょう。
よーし,添付ファイルを開いてやろうじゃないか。



まずは罪のなさそうな画像ファイル。
添付ファイルをダブルクリックすると,こんな警告が出ます(SP2パッチを当ててある場合ね。これを当ててない場合は,いきなり"感染"しますよ。「SP2パッチって何?」というあなた,急いでここへ行ってパッチを当てましょう)。
ここで思いとどまって「キャンセル」すれば大丈夫なのですが,今回は「OK」なのだ。
開いてみるとホントに画像ファイル(学校の校舎の写真)でした。
ファイル名から察するにIEのキャッシュに入っていたもののようです。
ところでjpg画像ファイルがウィルスに感染してるってこともあるんですかね。よく知りません。

【注】実際にはこのダイアログをキャプチャーして画像をFDに保存してから「キャンセル」,次のファイルをダブルクリックして現れたダイアログもキャプチャーして画像をFDに保存してから「キャンセル」しました。その後FDをPCから抜いて,もう一度このファイルをダブルクリックしてから「OK」ボタンを押しました。
つまり,これとこの下の画像ファイルはPCがウィルスに感染する前に"外"に取り出してあるので,ウィルスに感染している恐れはまったくありません。
"軽率"なわりに注意深く作業してるでしょ。



こっちが"本体"でしょうね。
警告を無視して「OK」のボタンを押すと・・・,
ハードディスクがにわかにカリカリ音をたて始めました。
おお,ついに"終わりの始まり"か!
なんだかドキドキします。



さっそくTREND MICROのオンラインウィルススキャンをやってみました。
そしたら出るわ出るわ,ウィルスやウィルスに感染したファイルが山のように見つかりました。その数 なんと262個!
WORM_KLEZ.Hの他に,PE_ELKERN.Dというウィルスもありました。
KLEZは,c:\WINNT\system32\にwinktw.exeというファイルを作っていました。(一般に,wink*.exe(「*」は無作為な文字列)というファイルができるらしいですね)
TREND MICROから引用すると,
「感染すると、E-Mailの自動送信と共有ドライブへのコピーで増殖し、また同時に実行可能形式ファイルへのウイルス感染をおこなう別プログラムも作成します。トレンドマイクロ製品ではこのウイルス活動を行う別プログラムを「PE_ELKERN.B」(エルカーン) またはその亜種(「PE_ELKAERN.D」など)として検知します。 「WORM_KLEZ」本体、「PE_ELKERN」双方ともネットワーク上で感染を広め、悪質な活動をおこないますので感染が判明したマシンはすぐににネットワークから切り離すことをお勧めします。」
ということだそうです。

ちなみにこれ以降の画面はキャプチャーしないでデジタルカメラで撮りました。キャプチャーして保存した画像ファイルがウィルスに感染したらシャレになりませんからね。



LANケーブルを抜いて再起動しました。
「GoBack3」は,BIOSとWindowsの間に割り込んで起動してきます。はじめにこういう画面が2秒ほど表示されるのですが,ほっとくとWindowsが起動します。Windowsに不具合が起こった時にはここでスペースキーを押して復元処理を行うのです。
当然ここでスペースキーを押します。



いつの時点に復帰するのか聞かれるので,
今日パソコンを起動した時刻を選んで「OK」ボタンを押します。

←復帰作業はこのように進みます。



10分弱で復帰作業は完了しました。
OEを起動すると,あのウィルスメールはまだ受信されてません。 削除したはずのアドレス帳も元に戻っています。まるでタイムマシンみたい。
OEを終了してからLANケーブルをつないでTREND MICROのオンラインウィルススキャンをもう一度実行してみました。
もちろん,ウィルスは1つも発見されませんでした。すごい,完璧に元に戻ったのだ。(^o^)v

繰り返しますが,よい子は絶対にこんなマネをしてはいけません。
どうしてもマネしたい人は"自己責任"でやってくださいね。どうなったって僕は知りませんよ。


【セキュリティ関係のリンク】
トレンドマイクロ株式会社
株式会社シマンテック
マカフィー株式会社
Microsoft TechNet セキュリティセンター
Microsoft Windows Update
Windows.FAQ
最新コンピュータウィルス情報
IPAセキュリティセンター

【ビギナー向け】
ウィルス対策スクール
CAPS突撃隊 ウィルスって何さ!?
初心者のためのインターネット護身術

【無料のウィルス対策ソフト】
AVG AnitiVirus KLEZ.Hを検出して隔離してくれました。(^-^)
AVG AntiVirus日本語化パッチ
AVG AntiVirusの導入方法
AVG AntiVirusの基本設定