Trend Micro Security

WORM_KLEZ.H

2015年6月25日
 別名:

W32.Klez.H@mm(Symantec), W32/Klez.h@MM(McAfee), Email-Worm.Win32.Klez.h(Kaspersky), W32/Klez-H(Sophos), W32/Elkern.C(Avira), W32/Klez.H@mm (exact)(F-Prot)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 Eメールを介したスパム活動

ワームは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。

ワームは、自動実行のレジストリ値を削除し、プロセスを終了します。これにより、アプリケーションは無効となります。

ワームは、Windows のアドレス帳(WABファイル)から特定のEメールアドレスを収集します。 ワームは、ソフトウェアに存在する脆弱性を利用して感染活動をします。この脆弱性が利用されると、ユーザがスパムメールを読むか、あるいはプレビューした際に、添付ファイルを開かなくても自動実行されます。

  詳細

ファイルサイズ 不定
タイプ EXE
メモリ常駐 はい
発見日 2003年1月21日
ペイロード プロセスの強制終了, URLまたはIPアドレスに接続

侵入方法

ワームは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\WINK{random alphabetic characters}.EXE
  • %Temp%\{random alphabetic characters}{random digits}.EXE

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

自動実行方法

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Wink{random alphabetic characters}
ImagePath = "%System%\WINK{random alphabetic characters}.EXE" (if the operating system is Windows NT, 2000, or XP)

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Wink{random alphabetic characters} = "%System%\WINK{random alphabetic characters}.EXE" (if the operating system is Windows 95, 98 or ME)

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Wink{random alphabetic characters} (if the operating system is Windows NT, 2000, or XP)

他のシステム変更

ワームは、以下のファイルを削除します。

  • ANTI-VIR.DAT
  • CHKLIST.CPS
  • CHKLIST.DAT
  • CHKLIST.MS
  • CHKLIST.TAV
  • IVB.NTZ
  • SMARTCHK.MS

ワームは、自動実行のレジストリ値を削除し、プロセスを終了します。これにより、アプリケーションは無効となります。

感染活動

ワームは、以下の共有フォルダ内に自身のコピーを作成します。

  • {random file name}.{random extension 1}.{random extension 2}
  • {random file name}.RAR

ワームは、以下のレジストリキーを確認して利用可能なSMTPサーバを検索します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts

ワームは、以下のインスタントメッセンジャ(IM)に関連したデータファイルから標的とするEメールアドレスを収集します。

  • ICQ

ワームは、WABから特定のEメールアドレスを収集します。

ワームは、スパム活動の過程で、メッセージを作成します。この送信用メッセージには、以下の詳細が記載されています。

Sender: Taken from the gathered email addresses
Option 1:

  • Subject: none
  • Mail Body: none

Option 2:
  • Subject: chosen from the following:
    • congratulations
    • darling
    • eager to see you
    • honey
    • how are you
    • introduction on ADSL
    • japanese girl VS playboy
    • japanese lass sexy pictures
    • let's be friends
    • look,my beautiful girl friend
    • meeting notice
    • please try again
    • questionnaire
    • so cool a flash,enjoy it
    • some questions
    • sos!
    • spice girls vocal concert
    • the Garden of Eden
    • welcome to my hometown
    • your password

    The subject can be preceded by the following:
    • Hi,{user name},
    • Hello,{user name},
    • Re:
    • Fw:

  • Mail Body: none

Option 3:
  • Subject: a {string 1} {string 2} game
  • Mail Body:
    A {string 1} {string 2} game

    This is a {string 1} {string 2} game
    This game is my first work.
    You're the first player.
    I expect you would enjoy it.

Option 4:
  • Subject: {string 3} removal tools
  • Mail Body:
    {string 4} give you the {string 3} removal tools
    {string 3} is a dangerous virus that can infect on Win98/Me/2000/XP.

    For more information,please visit http://www.{string 4}.com

Option 5:
  • Subject: could be any of the following:
    • Undeliverable mail--"{random string}"
    • 'Returned mail--"{random string}"

  • Mail Body:
    The following mail can't be sent to {spoofed email address}

    From: {spoofed email address}
    To: {spoofed email address}
    Subject: {random string}
    The file is the original mail

Option 6:
  • Subject: Worm Klez.E immunity
  • Mail Body:
    Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
    Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
    We developed this free immunity tool to defeat the malicious virus.
    You only need to run this tool once,and then Klez will never come into your PC.
    NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
    If so,Ignore the warning,and select 'continue'.
    If you have any question,please mail to me.

Option 7:
  • Subject: {string 5} {string 6}
  • Mail Body: random text

Option 8:
  • Subject: could be any of the following:
    • a {string 7} {string 7} tool
    • a {string 7} {string 7} patch

    where {string 7} could be any of the following:
    • excite
    • funny
    • good
    • humour
    • IE 6.0
    • new nice
    • powful
    • W32.Elkern
    • W32.Klez.E
    • WinXP

  • Mail Body: random text

Option 9:
  • Subject: a {string 1} {string 2} website
  • Mail Body:
    This is {subject}
    I {string 8} you would {string 9} it.

    where {string 8} can be any of the following:
    • expect
    • hope
    • wish

    {string 9} can be any of the following:
    • enjoy
    • like

Option 10:
  • Subject: chosen from existing files and folder names
  • Mail Body: none

{string 1} is optional or could be any of the following:
  • very
  • special
{string 2} is optional or could be one of the following:
  • excite
  • funny
  • good
  • humour
  • new
  • nice
  • powful
{string 3} could be any of the following:
  • W32.Elkern
  • W32.Klez.E
{string 4} could be any of the following:
  • F-Secure
  • Kaspersky
  • Mcafee
  • Sophos
  • Symantec
  • Trendmicro
{string 5} could be any of the following:
  • Happy
  • Have a
{string 6} could be any of the following:
  • All Souls Day
  • Allhallowmas
  • April Fools Day
  • Assumption
  • Candlemas
  • Christmas
  • Epiphany
  • Lady Day
  • New year
  • Saint Valentine's Day

ワームは、以下のソフトウェアに存在する脆弱性を利用して感染活動をします。この脆弱性が利用されると、ユーザがスパムメールを読むか、あるいはプレビューした際に、添付ファイルが自動実行されます。

プロセスの終了

ワームは、感染コンピュータ上で確認した以下のサービスを終了します。

  • _AVPCC
  • _AVPM
  • ACKWIN32
  • ALERTSVC
  • AMON
  • ANTIVIR
  • Antivir
  • AVCONSOL
  • AVE32
  • AVGCTRL
  • AVP32
  • AVPCC
  • AVPM
  • AVPTC
  • AVPUPD
  • AVWIN95
  • CLAW95
  • DVP95
  • F-AGNT95
  • F-PROT95
  • FP-WIN
  • F-STOPW
  • IOMON98
  • LOCKDOWN2000
  • Mcafee
  • N32SCANW
  • NAV
  • NAVAPSVC
  • NAVAPW32
  • NAVLU32
  • NAVRUNR
  • NAVW32
  • NAVWNT
  • NOD32
  • Norton
  • NPSSVC
  • NRESQ32
  • NSCHED32
  • NSCHEDNT
  • NSPLUGIN
  • NVC95
  • PCCWIN98
  • SCAN
  • SCAN32
  • SWEEP95
  • TASKMGR
  • VET95
  • VETTRAY
  • VIRUS
  • VSHWIN32

作成活動

ワームは、以下のファイルを作成します。

  • %Program Files%\{random alphabetic characters}{random digits}.EXE - detected by Trend Micro as PE_ELKERN.D

(註:%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

その他

ワームは、自身のコード内に以下の文字列を含みます。

  • Win32 Klez V2.01 & Win32 Foroux V1.0
    Copyright 2002,made in Asia
    About Klez V2.01:
    1,Main mission is to release the new baby PE virus,Win32 Foroux
    2,No significant change.No bug fixed.No any payload.
    About Win32 Foroux (plz keep the name,thanx)
    1,Full compatible Win32 PE virus on Win9X/2K/NT/XP
    2,With very interesting feature.Check it!
    3,No any payload.No any optimization
    4,Not bug free,because of a hurry work.No more than three weeks from having such idea to accomplishing coding and testing

  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 3.946.01
初回 VSAPI パターンリリース日 2006年11月22日
VSAPI OPR パターンバージョン 3.947.00
VSAPI OPR パターンリリース日 2006年11月22日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「WORM_KLEZ.H」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)

手順 3

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「WORM_KLEZ.H」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 4

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 5

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • Wink{random alphabetic characters} = "%System%\WINK{random alphabetic characters}.EXE"

手順 6

不明なレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • Wink{random alphabetic characters}

手順 7

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_KLEZ.H」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 8

以下の修正パッチをダウンロードし適用します。この脆弱性に対する修正パッチを適用するまで、該当製品の使用をお控えください。この製品の製造元が公開する正式な修正パッチをダウンロードし適用することをお勧めします。

手順 9

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

  • ANTI-VIR.DAT
  • CHKLIST.CPS
  • CHKLIST.DAT
  • CHKLIST.MS
  • CHKLIST.TAV
  • IVB.NTZ
  • SMARTCHK.MS


ご利用はいかがでしたか? アンケートにご協力ください