W32.Elkern.4926は、W32.ElKern.3326 ウイルスの新バージョンで、 W32.Klez.H@mmによって投下されます。


Symantec Security Response では、W32.Klez と W32.ElKernの既知のすべての亜種を駆除するツールを配布しています。ツールを入手するには、こちらをクリックしてください。
このワームの駆除には、駆除ツールを使用すると効果的です。まずは、このツールで駆除を試みてください。

備考：2002年9月10日以降にリリースされたウイルス定義および W32.Klez 駆除ツール (このツールで ElKern の駆除も可能) には再感染予防機能が含まれています。シマンテックのアンチウイルス製品または W32.Klez 駆除ツールで修復した感染ファイルが、W32.ElKern.4926 に再び感染することはありません。

W32.Elkern.4926は、W32.ElKern.3326とは次の点で異なります。

• （W32.Elkern.3587と同様に）自己解凍型の .rar、.zip 圧縮ファイルを認識し、これらのファイルへの感染を回避するアルゴリズムが追加されています。
  
• 検出プログラムによる検出が困難になるよう改造された暗号化アルゴリズムが使用されています。
  
• 破壊的な発病症状が削除されています。
  

別名: Win32.Elkern.c [AVP], W32/Elkern.C [Sophos], Win32/WQK.C [CA], PE_ELKERN.D [Trend], W32/Elkern.cav.c [McAfee]

亜種: W32.ElKern.3587, W32.ElKern.3326

種別: ウイルス

感染サイズ: 4,926 バイト

影響を受けるシステム: Windows 95, Windows 98, Windows 2000, Windows XP, Windows Me

影響を受けないシステム: Windows NT, Macintosh, UNIX, Linux

対応日(Intelligent Updater)* 02/04/17(米国時間) 対応日(Live UpdateTM)** 02/04/17(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 50-999 報告件数: 10以上 地域感染度: 高 対処レベル: 高 駆除: 普通

危険性評価グラフ 被害状況: 中 ダメージ: 低 感染力: 高

W32.ElKern.4926 は、W32.Klez.H@mm ワームに関連しています。そのワームは、ランダムなファイル名を使用して、C:\Program Files フォルダにウイルスの本体そのものを作成し、活性化します。その後、ウイルスは自分自身の活動を実行します。

W32.ElKern.3326 および W32.ElKern.3587 同様、W32.ElKern.4926 もまた、フォルダおよびサブフォルダ内でランダムに選択したPortable Executive(PE) ファイルをランダムに選択して空白部分に増殖します。まず最初に、カレントフォルダ内で感染対象となるファイルを検索します。その後、ランダムな文字のドライブ名のドライブから Z ドライブまでスキャンします。また、ローカルネットワーク上でオープンになっている共有フォルダにも感染します。ファイルによっては、感染後のファイルサイズが変化しないものがあります。

このウイルスが感染対象のファイルを探すとき、"rary Inter" または "tem32\dllcac"という文字列を含む名前のフォルダは検索対象から外されます。さらに、ファイル名の先頭が、_avp、aler、amon、anti、nod3、npss、nres、nsch、n32s、avwi、scan、f-st、f-pr、avp、または nav のファイルも無視されます。

W32.ElKern.4926 が感染対象とするファイルは、ファイルの種類がPE GUI またはコンソール アプリケーションで、.dll ファイルではなく、"irus"という文字列を含んでいなく、Windows 98/Me/2000/XP のシステムファイルチェッカーによって保護されていなく、また WinZip または RAR の自己解凍型ファイルでもないファイルです。

W32.ElKern.4926 には、同じファイルに繰り返し増殖するというバグがあり、結果的に感染先のファイルが修復不能になるおそれがあります。

また、この亜種は自身のコードを動作中の全プロセスに挿入しようとします。その結果、システム全体のスキャンを実行して何もウイルスが見つからなかったと通知された後にファイルに再感染する可能性があります。


W32.ElKern.3326 や W32.ElKern.3587は、Wqk.dll または Wqk.exe を投下し、次のレジストリキーにそれらのファイルを参照する値を追加しますが、

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrrentVersion\Run

W32.ElKern.4926 は、Wqk.dll を Wqk.exe を投下せず、またレジストリキーを変更することもありません。

W32.ElKern.dam は、W32.ElKern.4926によって破壊されたか、あるいはファイル内にウイルス本体が増殖しているものの、ウイルスコードがホストプログラムから制御を得ることがない感染ファイルに対する検出名です。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

駆除ツールを使った方法

Symantec Security Response では、W32.Klez と W32.ElKernの既知のすべての亜種を駆除するツールを配布しています。この脅威の駆除には駆除ツールの使用を推奨します。ツールを入手するには、こちらをクリックしてください。

W32.Klez.gen@mmが検出された場合には：
W32.Klez.gen@mmは、W32.Klezのすべての亜種を検出する汎用検出名です。W32.Klez.gen@mmに感染しているコンピュータは、多くの場合、W32.Klez.E@mmあるいはW32.Klez.H@mmによる影響を受けています。ご使用のコンピュータ上でW32.Klez.gen@mmに感染しているファイルが検出された場合は、駆除ツールをダウンロードして実行してください。この駆除ツールはほとんどの場合、感染を駆除できます。

手動駆除方法

注意：手動での駆除はW32.ElKern.4926のみ感染している場合は駆除できますが、コンピュータがW32.Klez.H@mmなど他のウイルスに感染している場合は駆除できません。

1. LiveUpdateを実行し、ウイルス定義を最新版に更新します。
   
2. コンピュータをシャットダウンし、電源を切り、30秒間待ちます。
   
3. コンピュータをセーフモードで再起動します。Windows NTを除くすべての32ビットOSは、セーフモードで再起動することができます。詳しくは、以下のうち、お使いのWindowsに該当するドキュメントをご覧ください。
   
   • Windows XPをセーフモードで起動する方法
     
   • Windows 2000　をセーフモードで起動する方法
     
   • Windows 9x または Windows Me をセーフモードで起動する方法
     
4. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
   
   
   • 個人のお客様向けNAV製品をお使いの場合（パッケージ製品）：詳しくは、"How toconfigure Norton AntiVirus to scan all files"（英語）をご覧ください。
     
   • 企業・法人のお客様向けNAV製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"（英語）をご覧ください。
     
     
5. システム全体のスキャンを実行し、W32.ElKern.4926に感染しているファイルが検出されたら、[修復]をクリックします。
   
6. コンピュータを再起動します。
   
7. 感染ファイルが何も見つからないと通知されるまで、手順3〜5を繰り返します。
   

追加情報

W32.Klez.gen@mm という検出名について： W32.Klez.gen@mmは W32.Klezの亜種を検出した場合に使用される汎用検出名です。お使いのコンピュータ上でW32.Klez.gen@mmが検出された場合、ほとんどの場合、 そのコンピュータはW32.Klez.E@mm または W32.Klez.H@mmに感染しています。W32.Klez.gen@mm感染ファイルが検出された場合は、専用の駆除ツールをダウンロードして実行することで、ほとんどの場合、感染を駆除することができます。