- 締切済み
Klez_Hとメールソフトの関係
Klez_Hに感染したんですが、友人のところにはどこにもウイルスは行っていなかったのです。 (念のため、私のメルアドで行くとは限らないタイプだということはわかっています。) メーラがアウトルックではなく、日本製のフリーソフトを使っていたためかな?と思ったのですが、よくわかりません。 同じKlez_Hに感染した人は、OEを使っていて、アドレス帳に載っていた人たち全員にウイルスメールが行ってしまったとのことでした。 ウイルス関係詳しい方、回答をお願いいたします。
- aoi-m
- お礼率66% (40/60)
- ウィルス・マルウェア
- 回答数5
- ありがとう数5
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- nagare
- ベストアンサー率33% (280/831)
>私のメーラで設定しているSMTPを使用せずに、Klez独自のSMTP(エンジン?)を使って利用可能なSMTPサーバを探し出してウイルスメールを不特定多数に送信する、という認識でいいのでしょうか??????? クレズはOE(OUTLOOK)をターゲットにしているため、 OE(OUTLOOK)に設定されているSMTPの情報を使っていることは確かです Klez独自のSMTP(エンジン?)というのは、クレズ自体がmailerということです mailerはいろいろありますが、有名でないmailerの方がウィルスに強いです (ターゲットにされない)
- HUTABA
- ベストアンサー率27% (436/1611)
#1です。 >ウイルスに感染するということと、プログラムが実行されるということは別物だということなのでしょうか。 別というか何と言うか… Klezは、感染するとシステム日付が奇数月の6日に特定の拡張子のファイルを破壊します。 もちろん破壊されたファイルは直りません。 そして、そういう悪さをするウィルス(自分自身)を不特定多数に送信するんです。 >ということは、たとえば、マイドキュメントに入っているワード文書に書かれているメルアドや、インターネット一時ファイルに入っているサイト(HTML)に書かれているメルアドを拾う、ということですか? そういう事です。 #1の回答にある拡張子のファイルが狙われます。 >利用可能なSMTPサーバを推測する、というのは、どういうことでしょうか?? SMTPというのはメールを送信する際に使用される物です。 メールは、メールを受け取るサーバに「もしもし、これからメールを送りますよ」と言ってメールを送信し、受け取った側が「このメールはうち宛じゃないな」と判断したら、さらにSMTPで他の受け取り先にメールを送信し…という感じで送られます。 そしてKlezは、aoi-mさんのパソコンから使用できるSMTPサーバを探し出して、勝手にメールを送信しようとします。
- nagare
- ベストアンサー率33% (280/831)
ちょっと補足します -- また、Windowsのアドレス帳、ICQデータベース、ローカルファイル(.htmlやテキストファイル)から探し出したメールアドレスに対し、自分自身を添付した電子メールを送りつけます。このワームは独自のSMTPエンジンを含んでおり、利用可能なSMTPサーバを推測しようとします。 -- クレズはSMTPエンジンを含んでいるのですが、自分自身を添付した電子メールを送ります クレズ自体はメール(OE,OUTLOOK)を開いたりあるいはプレビューしただけで自動的に自分自身が実行しますので、違うmailerの場合は確率的に条件が揃わない ということです
お礼
#2で紹介してくださったアドレスで、 >このワームは独自のSMTPエンジンを含んでおり、利用可能なSMTPサーバを推測しようとします。 という件は理解できました。 有難うございました。
補足
>このワームは独自のSMTPエンジンを含んでおり、利用可能なSMTPサーバを推測しようとします。 SMTPという文字はメールの送信のときに見たような気がしますが…なんのことかよくわかっておりません。 利用可能なSMTPサーバを推測する、というのは、どういうことでしょうか?? >クレズ自体はメール(OE,OUTLOOK)を開いたりあるいはプレビューしただけで自動的に自分自身が実行しますので、違うmailerの場合は確率的に条件が揃わない ということです こちらはよくわかりました。有難うございます。 初歩的な質問ばかりですみませんが、よろしくお願い致します。
- nagare
- ベストアンサー率33% (280/831)
>メーラがアウトルックではなく、日本製のフリーソフトを使っていたためかな?と思ったのですが、よくわかりません。 OE,OUTLOOKを使ってMAILを送信します OEを使っていない(正しくは、使えるように設定をしていない)場合は、大丈夫です -------- Microsoft OutlookおよびOutlook Expressの脆弱性を利用することによって、ユーザがメールを開いたりあるいはプレビューしただけで自動的に自分自身が実行されるように設計されています。 -------- 参考 W32.Klez.H@mm:Windowsのアドレス帳、ICQデータベース、ローカルファイルから探し出したメールアドレスすべてに対し、自分自身を添付した電子メールを送信する。 ネットワーク共有を介して感染もする。 http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.h@mm.html W32.Klez.E@mm:ローカルのファイル、および、OutlookやICQのアドレス帳に登録されているアドレスにメールを送信する。 自分自身をネットワーク共有にもコピーします。 http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.e@mm.html
補足
回答有難うございます。 アウトルック系でなかったので無事だったのですね。 ただ、感染は確かにしていたはずなのです。 オンラインスキャンや、AVGで感染が確認されたので…。 ウイルスに感染するということと、プログラムが実行されるということは別物だということなのでしょうか。 ローカルファイル――というのは、自分のHDの中のファイルのことですよね。(た、確か…。) ということは、たとえば、マイドキュメントに入っているワード文書に書かれているメルアドや、インターネット一時ファイルに入っているサイト(HTML)に書かれているメルアドを拾う、ということですか? 初歩的な質問でお恥ずかしいのですが、よろしくお願いいたします。
- HUTABA
- ベストアンサー率27% (436/1611)
aoi-mさんがお使いのメールソフトのアドレス帳ファイルの拡張子は何でしょう? Klezは特定の各章死のファイルを検索し、その中に書かれたメールアドレスに向けてメールを送信します。 [MP8,EXE,SCR,PIF,BAT,TXT,HTM,HTML,WAB,DOC,XLS,CPP,C,PAS,MPQ,MPEG,BAK,MP3] KlezについてはKlez対策Webというのもあります。 そこでKlezについての詳しい情報が得られますよ。
補足
ありがとうございます。 調べてみましたら、 .adr でした。
お礼
すいません、上の続きです(お礼の欄なのに…涙) SMTPについてですが、 ご説明を読んで、理解したことが果たして正しいのかどうかわからないのですが、 私のメーラで設定しているSMTPを使用せずに、Klez独自のSMTP(エンジン?)を使って利用可能なSMTPサーバを探し出してウイルスメールを不特定多数に送信する、という認識でいいのでしょうか??????? 頭の悪い質問ばかりですみません。よろしくお願いいたします。
補足
回答有難うございます! >そういう悪さをするウイルス(自分自身)を不特定多数に送信する というのは、たとえば感染してからすぐ行われるんでしょうか。プレビューしてしまった後に、オンラインスキャンをかけにいってしまったので、すぐ回線を切断しなかったんです。だから、すぐ送信されてしまうのだとすると、まずかったのかな、と思いました。 スキャンなどで感染したことが判明した後、OSを再インストールして、私のメーラのアドレス帳に入っていた人たちに警告のメールを送ったのですが、HD中のファイルに記載されているメルアドの人(知っている人とは限りませんが)にも送信されている可能性があるということですよね? しかし、わたしのメーラでも、受信してプレビュー、感染したという事実があったにもかかわらず、なぜメールがひろまらなかったのか、いまいちよくわかっておりません。 アウトルック系でなかったから、ただそれだけの問題だったのでしょうか? #1でおっしゃっていた、アドレス帳の拡張子はadrだったのですが、アウトルックは違いますよね。 もし私の使っているメーラのアドレス帳の拡張子がアウトルックのものと同じだったら…どうだったんでしょう?? SMTPについてのご説明、有難うございました。 よくわかりました~。