　ウィルス“WORM_KLEZ.H”に感染しました。この６月に被害急増の気配です。　つぎのサポートに相談しましたが、具体的な対処法にたどりつけません。　東芝、ドリームネット、クラブＱ＆Ａ。　確実な最新の手順を教えてください。　被害の詳細は↓参照。http://www.enpitu.ne.jp/usr8/bin/day?id=87518&pg=20030615

Question

adlib

885

864もっと見る

100pt

コンピュータ

　ウィルス“WORM_KLEZ.H”に感染しました。この６月に被害急増の気配です。　つぎのサポートに相談しましたが、具体的な対処法にたどりつけません。　東芝、ドリームネット、クラブＱ＆Ａ。　確実な最新の手順を教えてください。　被害の詳細は↓参照。http://www.enpitu.ne.jp/usr8/bin/day?id=87518&pg=20030615

回答の条件

URL必須
1人2回まで

登録：2003/06/20 08:34:26
終了：--

※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

aliceboo 2003/06/20 15:21:19

KLEZについて

俗に言う「KLEZ」ウィルスは、現在も様々な亜種を生み出しながら、世界的規模で蔓延しているウィルスです。

その大きな特徴が、「送信元を詐称する」というもの。
ウィルスつきのメールをKLEZが送信する際に、送信元となったマシンに格納されているデータの一部（ブラウザのキャッシュなど）から、メールアドレスを抜き出し、そのアドレスを送信元として詐称するという動きをします。

このため、ウィルスつきのメールが来てしまっても、メールを見ただけでは誰のマシンが感染しているのかがわかりにくいのです。

状況がはっきりとしないのでここからは推測ですが、おそらくadlibさんのマシンはウィルスに感染していない可能性が高いと思われます。現に私のマシンにも「あなたから送信されたメールにウィルスが添付されていました」という自動送信メールを日に数通も（！）受け取りますが、毎日ウィルスチェックしても全く感染していません。

もし、こういった『「あなたから送信されたメールにウィルスが添付されていました」という自動送信メール』の到着を一切なくしたいということでしたら、残念ながらその方法は今のところ「ない」とお答えするしかありません。
adlibさんのサイト（拝見させて頂きました）を見た第三者のマシンがKLEZに感染しており、そのマシンのキャッシュからadlibさんのメールアドレスが抽出されてしまえば、その時点でadlibさんのメールアドレスが送信元に書かれているウィルスつきメールが世界のどこかで飛び交うことになります。そして、そのメールを受け取ったメールサーバから自動送信メールがadlibさんに届く…という感じです。

したがって、現状で『「あなたから送信されたメールにウィルスが添付されていました」という自動送信メール』の到着を防ぐ方法はないと思われます。少なくとも私は知りません。

私はどうしているかというと、そういったメールは全て即刻削除しています。誠に受動的な方法ですが、これが一番楽です。もちろん、毎日のウィルスチェックは欠かしません。
さとし＠快投乱打 2003/06/20 16:25:33

発信者詐称の調べ方

まず、メールサーバーでのウィルスチェックサービスには２種類あります。
Ａ. SMTPサーバーでチェックするもの。
Ｂ．POPサーバーでチェックするもの。
　大半は後者ですが、最近は前者のサービスも増えています。
　adlibさんが使用しているメールサーバーでＡのサービスをしていて、かつドリームネットでなければ完全に「白」ですね。
　次にアドレス詐称の調べ方ですが、メールのヘッダを読むと、

Received: from .....
Received: from .....
Received: from .....
Message-ID: <200305200315.h4K3FhJ12550@rcpt-impgw.biglobe.ne.jp>
From:
Subject:

というように発信者〜受信者で中継された数だけ“Received: from”が続きます。一番上が最終受信者、一番下が発信者です。この一番下にadlibさんの使用しているSMTPサーバーのサーバー名やIPアドレスがあればadlibさんのPCを疑う必要があります(同じサーバーを使っている別人の可能性もありますが)、ウィルスが独自でSMTPエンジンを持つ場合(KLEZがどうだったかは失念しました)はadlibさんがネットに接続した際にプロバイダから与えられたIPアドレスが一番下になります。このIPはDOSプロンプトを開いて、

C:￥> tracert xxx.xxx.xxx,xxx

というふうに入力すればどのドメインから来たか追跡できます。

ウィルスだけでなく、最近はSPAMメールを発信者を詐称している悪質なものが多いので、単純に発信者が原因と決め付けずにヘッダを調べてみてください。メールサーバーのリレー情報まで詐称することはできません。
http://home.att.ne.jp/theta/tas/other/klez/
adlib 2003/06/24 11:05:56

Re:KLEZについて

>私はどうしているかというと、そういったメールは全て即刻削除しています。誠に受動的な方法ですが、これが一番楽です。もちろん、毎日のウィルスチェックは欠かしません。
＜あなたの回答は、もっとも具体的かつ自信たっぷりで、ぜひとも採用したいと思います。しかし、ほんとうに大丈夫なのでしょうか。いつごろ感染されたのか、その後のメール受信者に気づかれることがなかったのか、なにとぞ教えてください。

http://www.enpitu.ne.jp/usr8/bin/list?id=87518&pg=000000
aliceboo 2003/06/25 17:24:05

Re(2):KLEZについて

>＜あなたの回答は、もっとも具体的かつ自信たっぷりで、ぜひとも採用したいと思います。しかし、ほんとうに大丈夫なのでしょうか。いつごろ感染されたのか、その後のメール受信者に気づかれることがなかったのか、なにとぞ教えてください。

私のマシンがKLEZに感染したのは、KLEZの一番初期の種が蔓延しだしてすぐの頃です。その頃は全てウィルスチェックソフトの自動スキャン（今のように毎日ではありませんでした）に任せていたのですが、あっさり感染してしまいました（笑）。

その後、KLEZに限らず現在Windowsで蔓延しているウィルスについて勉強し、熟考した結果、「とにかく毎日ウィルスチェックをし、ウィルス定義ファイルは可能な限り最新の物にしておく」「『ウィルスが感染していました』メールは『自分宛のものではないので』即刻削除する」（もちろん、KLEZのような送信元を詐称するウィルスが全てはありません）という、至極まっとうな結論に至った次第です。

ウィルスに対してもっとも対応の早いモノは、なんだかんだいって「ノートン」「Macfee」などのウィルスチェックソフトです。それに、現在のウィルスチェックソフトはメールソフトにも常駐し、ウィルスが添付されていると思われるメールを事前に察知して削除などの手段を講じることが出来るようになっています。

ウィルスソフトの常駐についてはいろいろと意見があるとは思いますが、少なくとも「ウィルスを自分のマシンに感染させない」という観点から考えれば、素直にウィルスチェックソフトを導入して、万全な運用を心がけることが解決への一番の近道であると私は考えています。

「その後のメール受信者に気づかれることがなかったのか」についてですが、感染を未然に伏せぐことはもちろん、万が一感染したときのための対策を練ることが一番重要なのではないでしょうか。
ウィルスを100％防げるか？という問いに対して、私は「NO」という答えしか持ち合わせていません。未知のウィルスに対しては、いかなるウィルス防御手段も無力です。だからこそ、現在のようなウィルスチェックソフトの市場が成り立っているのだとも思います。
その観点から考えれば、私達が気をつけるべきなのは「予防」と「アフターケア」なのではないか、これが私の考えです。

今回のKLEZのような送信元詐称による誤解もきっちりと説明すれば納得していただけました。気づかれることを気にするのではなく、万が一送ってしまったらすぐに状況を把握し、それに対して解決を急ぐことが大切だと思います。