About Virus Top Page

Common Archivers Library - 統合アーカイバ・プロジェクト
--- Sorry, Home Page in English is under construction.
     

ウィルスについて

About Virus
統合アーカイバとは無関係ですが、最近ウィルス関係に悩まされることが多いので・・・

最近のトピックス:

ウィルス対策ソフトはライセンス購入がお得

企業向けライセンス⇒
ご注文・お見積もりはこちら

ダウンロード販売⇒
ダウンロード・購入はこちら

 なお、私や関連のメールアドレス
shodaあっとまーくcsdinc.co.jp
GHE00322あっとまーくnifty.ne.jp
webmasterあっとまーくcsdinc.co.jp
webmasterあっとまーくmail.csdinc.co.jp
等々からウィルスメールが届いたとしても、それは私が感染しているのではありません
詳しくは下記の Klez.E や Klez.H の説明をご覧ください。

また、実感染者の特定方法については→ Klez の感染者は誰か?

駆除ツールについては右の「ダウンロード」のリンクをたどってください。
その他、ウィルス情報や対策ソフト等々については

駆除は出来ませんが、とりあえず検査だけなら、オンラインでチェック出来るところもあります。
ただし、検出・駆除出来る種類に限りがありますので、出来ればちゃんとしたソフトをインストールした方が良いです。



概 要







ダウンロード
・概 要 to top

名称:Zafi.B 、D
概略: 依然として Zafi.D は活動中です。一件あたりのメール送信数が半端じゃないです。送信者詐称はあまりしませんが、メールアドレスはけっこうインチキ。

名称:Lovgate.A 〜
概略: R とか X とか W とかは、メーカによって呼び名が違っててシッチャカメッチャカ・・・

名称:NetSky.A 〜
概略: 現在も依然として主流を占める。これも次から次と、わんさか亜種が・・・

名称:MiMail.A 〜
概略: 次から次と、わんさか亜種が発生・・・現在は沈静化

名称:Bagle.A 〜
概略: 次から次と、わんさか亜種が発生・・・現在もなお活動中。

名称:MyDoom.A 〜
概略: 亜種 N や O あたりは現在も生き残ってます・・・

名称:Blaster MSBlaster 等々
概略: すでにいくつかの亜種が発生中・・・Windows 2000 や Windows XP の脆弱性を利用して、「裏口」から直接侵入してきます。メール感染はありませんし、メールを送信することもありません。
Windows 2000/XP そのものの最新の更新ファイルをインストールしていれば心配要りません。
Blaster については、上記の各社のページを参照してください。

名称:W32/Sobig.B、C、D、E、F
概略: Palyh.A が Sobig.B に改名されて以来、Sobig の派生型が次から次へと出現してます。
現時点(2003/8/21)の最新版は Sobig.F。

いずれもトロイの木馬型のワーム。自身のコピーを電子メールに添付し任意のあて先に送信する。 題名や添付ファイル名はバリエーションがあるが、添付を実行しない限りは感染しない。

名称:W32/Dialer.Trojan / PornDial
概略: 市外局番が900の電話番号に勝手に接続するトロイの木馬です。それ以外の弊害はなさそうなので、ウィルスと認定してないところもあるようです。
最近、pics.zip と言う添付ファイルに圧縮して送りつけてくるスパムメールが増えているようです。 等々を参照してください。

名称:W32/Yaha.P
概略: Yaha.L の亜種で、最近のウィルスによく見られる「ランダムな題名、添付ファイル名」「自前でメール送信」「差出人詐称」「ウィルス対策ソフトの無効化」「大量メール送信」「他サイトへDoD 攻撃」と言う特徴を全て持ってます。
特に最後の二点から考えると、かなりヘビーですから感染すればすぐに気が付くでしょう。
下記ページに記述は見られませんでしたが、一旦自分自身を ZIP 圧縮して添付してくることもあるようです。
Yaha.P については、
等々を参照してください。

名称:W32/Sobig
概略: 「トロイの木馬型」のワームで、添付ファイルを実行しないかぎり感染しません。
感染方法はレトロですが、最近のウィルスと同様に「ランダムな題名、添付ファイル名」「自前でメール送信」「差出人詐称(常に big@boss.com)」と言う特徴はあります。
Sobig については、
等々を参照してください。

名称:W32/Bugbear
概略: 最近のウィルスの例にもれず、「ランダムな題名、本文、添付ファイル名」「自前でメール送信」「差出人詐称」「ビューするだけで感染」の特徴があるほか、セキュリティソフト(ウイルス対策ソフトやファイアウォールソフト)のプロセスを強制終了してしまう他、外部へのトロイの木馬も仕掛けます。これを通じて、外部の攻撃者が Windows を完全にコントロールすることも出来ると言う、とんでもない機能まで持ってます。
Bugbear については、
等々を参照してください。
専用の駆除ツールは下記にあります。

名称:W32/Frethem
概略: Frethem の亜種ですが、学校関係を中心に急速に蔓延してるようです。
サブジェクトが「Re: Your password!」となっていて、メールサイズが66Kbytes くらい、もちろん添付ファイル付きと言うのが特徴です。
これも Outlook や Outlook Express 等では、プレビューするだけで感染しますので注意してください。

Frethem については、

等々を参照してください。
専用の駆除ツールは下記にあります。

名称:W32/Klez.H
概略: もう一つの Klez の亜種です。最近は Klez.E より Klez.H がほとんどです。
アドレス詐称等々、基本的には Klez.E と同様ですが、サブジェクトとして「W32.Klez.E removal tools」等々の、Klez.E の除去ツールを装ったものなどもあり、さらに巧妙になってます(-.-)
Klez.H については、
等々を参照してください。

名称:W32/Klez.E
概略: 題名が「A very excite game」とか色々で、本文がなかったり、あっても
This is a very  excite game
This game is my first work.
You're the first player.
I hope you would enjoy it.
などなど・・と言う内容で、添付ファイルが一つないし二つあり、しかも添付が不完全(少しだけ RFC 違反?)なメールが頻繁に来ます。まだ何のウィルスか特定出来ませんが、AVG Anti-Virus System は Klez.E ないし、それがインストールする ElKern.B であると報告して来ます。しかし下記のページの記述とは微妙に違うような気もするし・・・。また別の亜種なんでしょうか(-.-)
それに、このメール、送信元のメールアドレスがどうも変であてにならないのです。
どうやら、アクセスしたページからメールアドレスを拾い、それを From アドレスとして使って送信するようなのです。
ですからもし、私のメールアドレスからそういうメールが届いたとしても、それは私が感染しているのではありません
詳しいことがわかれば、また追記します。

実感染者の特定方法については→ Klez の感染者は誰か?

Klez.E については、

また、W32/ElKern については

等々を参照してください。

名称:W32/Myparty
概略:
題名が「new photos from my party!」、本文が「Hello!」そして添付ファイルがwww.myparty.yahoo.com(タイプB の場合は myparty.photos.yahoo.com)・・・
そのほか、
My party... It was absolutely amazing! 
I have attached my web page with new photos! 
If you can please make color prints of my photos. Thanks!
と言う文章も添付されてくるようです。
ただし、活動期間は2002年1月25日〜29日のみ(タイプBは2002年1月20日〜24日のみ)とのことなので、もう被害はないのでしょうか・・・
詳しくは

名称:W32/Badtrans.b
概略: メールサイズが 39KB か 40KB で本体空文で添付ファイルがあれば、間違いなくこのワーム(ウィルス)です。
メールのサブジェクト(題名)は Re: だけか、あなたが送ったメールに対する Re: となってます。
詳しくは

専用の駆除ツールが トレンドマイクロシマンテック 等々に公開されてます。
BadTrans.b の送信記録ビューア「GoodTrans」を公開しています。→


名称:サーカム(SirCam)
概略:
本文が
Hi! How are you?
 
I send you this file in order to have your advice
 
See you later. Thanks
で、添付ファイルがあれば、間違いなくサーカムです。
メールサイズは添付されるファイルにより異なりますが、最低でも160〜170KBくらいはあるようです。
\My Documents フォルダにあるワードやエクセル、ZIP ファイル等にウィルス本体をくっつけて偽装したファイルを添付して送りますので、被害を拡大するだけでなく、あなたの秘密のファイルをばらまくことになります。

詳しくは

専用の駆除ツールもあります。

名称:ニムダ(Nimda)
概略:
幾つかの亜種(変種)があるようですが、最近の流行は Nimda.E です。
メールサイズが 77KB くらいで本体空文で sample.exe という添付ファイルがあれば、間違いなくこのワーム(ウィルス)です。
詳しくは
 
・GCA版インストーラを使ったソフト(Noah等)からウィルスが検出される問題について to top

GCAのインストーラ機能を使ったソフト(Noahの「3.195 Installer」版(最新版)等) が、AVGVBA32 アンチウイルスソフトで、Trojan Dropper ウイルスとして検出されるようです。
たとえばAVG Ver 7.1.362(パターンファイル267.13.0/167:2005/11/13時点の最新版)では "Trojan horse.Dropper.Agent.XO" として検出されます。
もちろん、これは誤検出です。今のところ、これ以外のソフトは大丈夫なようですが。

・Klez の感染者は誰か? to top

Klez.E や Klez.H は送信者のアドレス詐称を行います。したがって、差出人のアドレスの人に「感染してますよ」とメールしても、99%間違いなく「感染してません」と言われるか無視されるだけです。
では実際に感染している人を特定することは出来ないのでしょうか?

これまでに試みて、かなりの確度で特定する方法はあります。ただし、全てのメールで特定出来るわけではありません。と言うか、全体の数%〜せいぜい10%程度のメールに対してして効果はありませんので、あまり期待はしないでください(^^ゞ

同様な趣旨の説明が
Klezウィルスの発信元を調べる方法
等にもあります。参考にしてください(上記の方が詳しくて親切かも ^^;)。

また Received フィールドの見方等については下記のページが詳しくわかりやすと思います。
spam対応初心者用メールヘッダー解析講座

下記作業をする前に、必ずアンチ・ウィルスソフト等で当該メールのウィルス無効化処置をしておいてください。
  • 添付ファイルを調べる。
    たいていの Klez メールは、ウィルス本体(.exe や .bat あるいは .pif という形式のことが多い)ともう一つのファイルを添付してきます。
    このファイルは *.html ファイルや *.jpg ファイルが多いのですが、中には *.doc(ワード)や *.xls(エクセル)のことがあります(3つ以上添付されている時の最後のファイル。最初の添付は Outlook Express 等にウィルス本体を自動実行させるための *.html ファイルのことが多い)。これらのファイルはそのまま開いても問題ありませんから、開いてみます。もちろんマクロ云々のメッセージが出る時はやめたほうが良いかもです(^^ゞ
    これらのファイルを開くと、内容を確認します。単に何かのソフトに付いていたドキュメントファイルの場合もありますが、場合によっては極めて個人的な内容や、企業秘密のファイルであることもあります。そういうファイルならラッキーですね(^^ゞ
    いやいや秘密をバラして・・・じゃないですよ。こんなファイルがあちこちに配布されているとは考えにくいですからね。ほぼ間違いなく、感染したPCのハードディスク中にしかないでしょう。
    そういう場合は隅から隅まで読んで見ましょう。場合によっては本文中にメールアドレスが書いてある場合がありますし、住所や電話番号等がある場合もありますから。
    それだけでは分からない場合でも、プロパティを見ると作成者として企業名等が書かれている場合も多いです。このあたりを手がかりに、真の差出人を推定するわけです。

  • Return-Path による方法。
    メールヘッダーを見ると、差出人(From)や時刻(Date)以外にも色々な情報が詰まってます。
    その中で真の差出人を特定するのに重要なのは、Return-Path と Received です。
    ただし、Return-Path と From が同じものはウィルスによる詐称なので役に立ちませんし、Return-Path にあなたのアドレスが書かれてる場合もあります。意味がありそうなのは、Return-Path と From が異なる場合です。
    そのうえ、Received の最後のもの(Received は一つのメールに複数付いているのが普通です。これがメールが配送されてきた経路を示してます)の最初にあるメールアドレスらしきもの(実際はPCの名前)の@ の後の部分が Return-Path の@ の後の部分と似ていれば、可能性は高くなります。
    ただ、これは絶対確実ではありませんので、慎重に対処した方が良いです。とりあえず、同じファイルが添付されてくるメールで、すべて同じReturn-Path になっているものがあれば、かなり怪しいです。「間違ってるかもしれませんが・・・」と下手にメールしてみるのが良いでしょうね。

  • Received による方法。
    上記のようにメールヘッダーにある Received フィールドの最後のもの(最初の送信アドレス)は、しばしば実際に送信に使われたPCを特定するのに役立ちます(はずれのことも多いのであまり期待はしないように)。
    このフィールドはしばしば

    Received: from fla07-054.wind.ne.jp (218.223.55.54) by smtp.yukaido.ne.jp with SMTP; 31 Oct 2003 10:41:35 +0900

    のように、from と by、そして with 時刻で構成されてます。重要なのは from の部分で、この例ですと「fla07-054.wind.ne.jp」と言う名前のアクセスポイントを経由して送られたことがわかります。また「218.223.55.54」はIPアドレスと呼ばれ、アクセスポイントに割り振られた住所(番号)で、世界中で唯一のものです。
    上記のように名前が付いてる場合はいいですが、IPアドレスだけの場合もあります。その場合はIPアドレスから、どこのプロバイダが管理しているかを割り出す必要があります。これはちょっと面倒ですが、XIPL(http://www.irnis.net/)などのソフトを使用すると簡単に調べることが出来ます。
    名前が分かったら、今度はそのプロバイダに調査依頼を出します。これはプロバイダによって対応してくれるかどうかわからないので賭けみたいなもんですが(^^ゞ
    ま、大手のプロバイダなら対応してくれるでしょう。
    調査依頼には、ウィルスメールのヘッダー情報を漏らさず転載しておきましょう。添付ファイルなどは必要ありませんが、なんと言うウィルスかわからない場合は、ウィルスメール全体も添付して送ればいいでしょう。

    で、どこへメールするかですが、それは下記で調べることが出来ます。

    http://www.abuse.net/lookup.phtml

    ここで、たとえば上記のような名前の場合ですと「wind.ne.jp」の部分だけを入力します。
    ちゃんと登録されている場合は、abuse@support@ と言うメールアドレスになっていることが多いようです。
    登録されてない場合は postmaster@ で、(default, no info) となります。この場合は対応してもらえる確率は低いです(-.-)

・プライバシー・ポリシー to top

トップページに感染者の企業名、実名を掲示していることについて、何件か問い合わせをいただいてます。

感染者名が推定出来るものに関しては、推定されるメールアドレスや推定可能なホームページに掲載されている問い合わせ先メールアドレス等に対して、警告メールを送ってます。それでも返答のないのが大半ですが(-.-)
推定したメールアドレスから返事が無いのは、ある程度予測出来ますが、ホームページに堂々と書かれたメールアドレスでさえ返答がないのは困ったもんです。まして、ホームページに作りつけられた問い合わせフォームからでさえ、返答がない企業が大半なのは、一体どうなってるんでしょうねぇ。

閑話休題:
いずれにしても、そのように何度か問い合わせても返事の得られない感染者、関係者のもので、且つ、定期的・不定期的に何度もウィルスメールが送られてくるもの、そういうものだけを掲載しています。
正直言って、その手の方々にプライバシーもへったくれもないと思うんですが・・・本心を言えば、ウィルスに添付されてくる、そういったかなりプライベートなファイルそのものまで公開してしまいたい心境です(T_T)

・ダウンロード to top

関連ソフトがダウンロード出来るページにリンクしてます。
駆除ツール全般に言えることですが、Windows ME/XP の場合は「システムの復元」機能をオフにしてから実行しないと、感染状態が復元される可能性が大きいです。
詳しくはここを参照してください。

対応ウィルス リンク
W32/Klez、W32/Bugbear他、多数のウィルスに対応した駆除ツール
 Trend Micro System Cleaner
W32/Klez、W32/Bugbear、W32/Elkern とその亜種専用
 McAfee のAVERTウイルス駆除ツールStinger

実際の配布ファイルはこれ。 エラーになる時は上記ページを参照してください。

W32/Klez.E や Klez.H
 トレンドマイクロ「WORM_KLEZ」修復ツール
W32/BadTrans.b
 トレンドマイクロ「WORM_BADTRANS.B」修復ツール
W32/BadTrans.b
 シマンテック「W32.Badtrans.B@mm」駆除ツール
W32/BadTrans.b
 BadTrans.b 送信記録ビューア「GoodTrans」
W32/SirCam
 W32.Sircam.Worm@mm 駆除ツール
AVG Anti-Virus System
 フリーのウィルス対策ソフト(英語版のみ)
Bit Defender
 フリーの各種ウィルス駆除ツール(英語版のみ)

to top
ソフト内容に関わる事や転載依頼等は同梱ドキュメントを参照の上、作者の指定方法でお願いします。
^ 統合アーカイバ・プロジェクトのホームページ
Copyright © 1997-2005 CSD,inc. and shoda T.
このページに付いてのお問い合せは: webmasterあっとまーくmail.csdinc.co.jp
(Nov. 14,2005 更新)