W32.ElKern.3326は、オープンになっている共有およびマッピングドライブ上のファイルに感染するウイルスです。 また、\Windows\Systemフォルダ内の実行形式ファイルすべてに感染しようとします。

Windows NT/2000上で実行された場合、最初に実行された時点でウイルスはクラッシュします。
Windows 9x 上で実行され、かつ、そのシステム上に書き込み禁止に設定されたネットワーク共有がマッピングされていた場合、実行後短時間でシステムがクラッシュします。

このウイルスに感染するファイルのなかには、感染後のファイルサイズが変化しないものもあります。
このウイルスは、マッピングドライブも含め、感染先コンピュータに接続しているドライブ上の全ファイルを破壊する発病症状を持っています。

その発病症状は次の日付になると発症します。

• 3月 13日
  
• 9月 13日
  
  

この発病症状は、確率は微小ながらも、ウイルス実行時にランダムなタイミングで発症することもあります。

注意：このウイルス:はW32.Klez.AあるいはW32.Klez.Dに関連するか、あるいは、それらのウイルスによって投下される可能性があります。詳細は各ウイルスの情報ページをご覧ください。

シマンテックでは、W32.Klez および W32.ElKern の既知のすべての亜種を駆除するツールを配布しています。ツールを入手するには、こちらをクリックしてください。このワームの駆除には、駆除ツールを使用すると効果的です。まずは、このツールで駆除を試みてください。

W32.Klez.gen@mmが検出された場合には：
W32.Klez.gen@mm は、W32.Klezのすべての亜種を検出する汎用検出名です。W32.Klez.gen@mmに感染しているコンピュータは、多くの場合、W32.Klez.E@mmあるいはW32.Klez.H@mmによる影響を受けています。ご使用のコンピュータ上でW32.Klez.gen@mmに感染しているファイルが検出された場合は、駆除ツールをダウンロードして実行してください。この駆除ツールはほとんどの場合、感染を駆除できます。

別名: W32.ElKern.3326 (dr), Win32.Elkern.a [KAV], W32/Elkern.cav.a [McAfee], PE_ELKERN.A [Trend], W32/ElKern-A [Sophos], Win32/Wqk.A [CA]

種別: ウイルス

感染サイズ: 3326 バイト

影響を受けるシステム: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

影響を受けないシステム: Macintosh, OS/2, UNIX, Linux

対応日(Intelligent Updater)* 01/10/26(米国時間) 対応日(Live UpdateTM)** 01/10/26(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 0-49 報告件数: 0-2 地域感染度: 低 対処レベル: 中 駆除: 普通

危険性評価グラフ 被害状況: 低 ダメージ: 中 感染力: 高

ダメージ

• 発症のタイミング: 3月13日と9月13日。ウイルス実行時に、確率は微小だが発病症状がランダムに発症する。
  
• 発病症状:
  • ファイル改ざん: ファイルをゼロで埋め尽くす。
    

駆除ツールによる駆除：
シマンテックでは、W32.Klez および W32.ElKern の既知のすべての亜種を駆除するツールを配布しています。

WW32.Klez.gen@mmが検出された場合には：
W32.Klez.gen@mm は、W32.Klezのすべての亜種を検出する汎用検出名です。W32.Klez.gen@mmに感染しているコンピュータは、多くの場合、W32.Klez.E@mmあるいはW32.Klez.H@mmによる影響を受けています。ご使用のコンピュータ上でW32.Klez.gen@mmに感染しているファイルが検出された場合は、駆除ツールをダウンロードして実行してください。この駆除ツールはほとんどの場合、感染を駆除できます。


W32.ElKern.3326は、ファイルの空白部分に感染するか、あるいは自分自身を付加することによってファイルに感染します。つまりこのウイルスは、できるだけファイル全体のサイズが変化しないような方法でホストファイルに自分自身を挿入します。

このウイルスが実行されると、ウイルスコードを実行するためのスレッドを新規に作成し、その後すぐに、元のホストプログラムに制御を返します。

次に、ウイルスは自分自身のコピーを\Windows\Systemフォルダに作成します。Norton AntiVirusは、このファイルをW32.ElKern.3326 (dr)として検出します。ファイル名は、OSにより異なります。

• Windows 95/98/Meの場合：%System%\Wqk.exe
  
• Windows NT/2000の場合：%System%\Wqk.dll
  

備考：%System%は場合によって異なります。ウイルスは\Windows\Systemフォルダを探し(通常はC:\Windows\System または C:\Winnt\System32)、そのフォルダ内に自分自身をコピーします。

その後、OSに応じて次の動作を行います。

• Windows 95/98/Meの場合：
  
  次のレジストリキーに
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\
  Windows\CurrentVersion\Run
  
  次の値を追加します。
  
  WQK %System%\Wqk.exe
  
  その結果、Windowsを起動するたびにウイルスが実行されるようになります。
  
  
• Windows NT/2000の場合：
  
  次のレジストリキーに
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\
  Windows NT\CurrentVersion\Windows
  
  次の値を追加しようとします。
  
  AppInit_DLLs %System%\Wqk.dll
  

その後ウイルスは%System%フォルダ（およびそのサブフォルダ）に存在する実行形式ファイルすべてに感染しようと試みます。ウイルスは1ファイル感染するごとに、次のファイルに感染するまで不特定期間スリープします。

備考：ウイルスは感染対象となるファイルを検索する時点ではファイル拡張子を無視します。ウイルスは、各ファイルに感染する前に、有効なWindows実行ファイルであるかどうかを確認します。ただし、このウイルスは.dllファイルには感染しません。

また感染過程で、ウイルスはコンピュータ上のすべてのドライブ (マップされたドライブを含む）への感染を試みます。また、ネットワークリソースすべてをスキャンしてオープンな共有を探して感染を試みます。

このウイルスにはバグがあるため、Windows 9xシステム上で1つでも書き込み禁止されているオープン共有が存在する場合、システムがクラッシュします。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

1. LiveUpdateを実行し、ウイルス定義を最新版に更新します。
   
2. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。詳しくは、"How toconfigure Norton AntiVirus to scan all files"（英語）をご覧ください。
   
3. システム全体のスキャンを実行します。
   
4. W32.ElKern.3326が検出されたファイルに対しては、[修復]をクリックします。
   
5. W32.ElKern.3326 (dr)が検出されたファイルに対しては、[削除]をクリックします。
   
6. Windows 95/98/Meをご使用の場合は、次の手順にしたがって、レジストリキーに追加された値を削除します。
   
   

1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。[ファイル名を指定して実行]ダイアログボックスが表示されます。
   
2. regeditと入力し、[OK]をクリックします。レジストリ エディタが開きます。
   
3. 次のレジストリキーを選択します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
   Windows\CurrentVersion\Run
   
   
4. 画面右側で、次の値を削除します。
   
   AppInit_DLLs %System%\Wqk.dll
   
   
5. [レジストリ]-[レジストリエディタの終了]をクリックします。