clear clear
Symantec.com logo Security Response
japan
グローバルサイト
製品とサービス
製品の購入
サポート
セキュリティ・レスポンス
ダウンロード
シマンテックについて
サーチ
フィードバック
grey


© 1995-2006 Symantec Corporation.
All rights reserved.
商標について
プライバシーポリシー
日本サイト更新日: 2003年7月17日 10:36

Category 3 W32.Klez.H@mm

発見日: 2002年4月17日 (米国時間)
最終更新日: 2003年7月16日 08:48 (米国時間)

報告件数が減少したため、Symantec Security Responseは、この脅威の危険度を4から3に引き下げました(2003年7月16日)。

W32.Klez.H@mmは、W32.klez.E@mmの改造バージョンで、電子メールとネットワーク共有を介して感染を拡大します。また、ファイルに増殖する能力も持っています。

駆除ツール

Symantec Security Response では、W32.Klez.E@mmおよびW32.ElKernの既知のすべての亜種を駆除するツールを配布しています。ツールを入手するには、こちらをクリックしてください。
このツールを使用することでこれらのウイルス、ワームを簡単に駆除できます。まずはこのツールで駆除を試みてください。

W32.Klez.gen@mmが検出された場合には:
W32.Klez.gen@mmはW32.Klezのすべての亜種を検出する汎用検出名です。W32.Klez.gen@mmに感染しているコンピュータは、多くの場合、W32.Klez.E@mmあるいはW32.Klez.H@mmによる影響を受けています。ご使用のコンピュータ上でW32.Klez.gen@mmに感染しているファイルが検出された場合は、駆除ツールをダウンロードして実行してください。この駆除ツールはほとんどの場合、感染を駆除できます。

別名: W32/Klez.h@MM [McAfee], WORM_KLEZ.H [Trend], I-Worm.Klez.h [AVP], Klez.H, W32/Klez-H [Sophos], Win32.Klez.H [CA], WORM_KLEZ.I [Trend]

種別: ワーム

影響を受けるシステム: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

影響を受けないシステム: Macintosh, Unix, Linux

CVE識別番号: CVE-2001-0154


  • 対応日(Intelligent Updater)*
    		• 02/04/17(米国時間)
  • 対応日(Live UpdateTM)**
    		• 02/04/17(米国時間)
    * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。
    ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。
    LiveUpdateの使い方については、こちらをクリックしてください。

    threat assessment

    被害状況

    危険性評価グラフ
    High Medium High

    被害状況:

    ダメージ:

    感染力:

    ダメージ

    • 発病症状: 感染先のファイルのコピーを作成して隠しファイルとして保存した後、元のファイルを自分自身で書き換えることで、実行形式ファイルにも感染。隠しファイルとして保存されたコピーは暗号化されるが、感染性のあるデータは何も含まれていない状態で保存される。隠しファイルのファイル名は、元のファイル名にランダムな拡張子が付いたものになる。
      • 大量メール送信: Windowsのアドレス帳、ICQデータベース、ローカルファイルから探し出したメールアドレスすべてに対し、自分自身を添付した電子メールを送信する。
      • 秘密情報の漏洩: ワームファイルの送信時、感染先マシン上にあるファイルからランダムに選択した1ファイルを添付する。つまり、ワームファイルに加え、次のいずれかの拡張子がついたファイルが添付されたメールが送信される:.mp8、.txt、.htm、.html、.wab、.asp、.doc、.rtf、.xls、.jpg、.cpp、.pas、.mpg、.mpeg、.bak、.mp3、.pdf

    感染力

    technical details

    W32.Klez.H@mmが実行されると、次のことを行います。

    1. 自分自身を%System%\Wink[ランダムな文字列].exeにコピーします。

      注意: %System%の部分は可変です。このワームはWindowsのシステムフォルダ(デフォルトではC:\Windows\System またはC:\Winnt\System32)を探し出し、そこに自分自身をコピーします。

    2. 次のレジストリキーに

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

      次の値を追加するか、

      Wink[ランダムな文字列] %System%\Wink[ランダムな文字列].exe

      あるいは、次のレジストリキーを作成し、

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[ランダムな文字列]

      そのサブキーに値を挿入することによって、Windowsが起動されるたびに毎回ワームが実行されるように設定します。

    3. オン・アクセス実行形式のウイルス スキャン・プログラムおよび以前に配布されていた他のワーム(W32.NimdaやCodeRedなど)のプロセスを停止させることによって、それらのプログラムを無効にしようとします。また、ウイルス駆除ソフトが使用するスタートアップレジストリキーを削除し、下記のチェックサムデータベースファイルを削除します。

      • Anti-Vir.dat
      • Chklist.dat
      • Chklist.ms
      • Chklist.cps
      • Chklist.tav
      • Ivb.ntz
      • Smartchk.ms
      • Smartchk.cps
      • Avgqt.dat
      • Aguard.dat

    ローカルドライブおよびネットワークドライブへの増殖:
    ワームは自分自身をローカルドライブ、マッピングドライブ、ネットワークドライブ上に次の形式のファイル名を使ってコピーします。

    • 拡張子が2つ付いたランダムなファイル名。例:filename.txt.exe
    • 拡張子が2つ付いた.rarアーカイブファイル。例:filename.txt.rar

    電子メールによる感染拡大
    ワームはWindowsのアドレス帳、ICQデータベース、ローカルファイルから探し出したメールアドレスすべてに対し、自分自身を添付した電子メールを送りつけます。このワームは独自のSMTPエンジンを使い、利用可能なSMTPサーバーを推測することでメール送信を実行します。

    例えば、ワームがuser@abc123.comというアドレスを見つけた場合、ワームはsmtp.abc123.comというサーバーを介して電子メールの送信を試みます。

    メールの件名、本文、添付ファイル名はランダムです。差出人のアドレスは、感染先コンピュータ上で発見したメールアドレスからランダムに選択されたものが使用されます。

    このワームは、次の拡張子を持つファイルを探し、そこに保存されている電子メールアドレスを収集します。

    • mp8
    • .exe
    • .scr
    • .pif
    • .bat
    • .txt
    • .htm
    • .html
    • .wab
    • .asp
    • .doc
    • .rtf
    • .xls
    • .jpg
    • .cpp
    • .pas
    • .mpg
    • .mpeg
    • .bak
    • .mp3
    • .pdf

    さらに、コンピュータ上から1ファイルをランダムに選択して添付するおそれがあります。そのファイルは、次のいずれかの拡張子が付いたファイルになります。

    • mp8
    • .txt
    • .htm
    • .html
    • .wab
    • .asp
    • .doc
    • .rtf
    • .xls
    • .jpg
    • .cpp
    • .pas
    • .mpg
    • .mpeg
    • .bak
    • .mp3
    • .pdf

    その結果、ワームが送信するメールには、ワーム自身のファイル、および、ランダムに選択されたもう1ファイルの計2つのファイルが添付されることになります。

    このワームが送信するメールは「ランダム」な文字列で構成されています。
    件名には次のいずれかの形式が使用されます。

    • Worm Klez.E immunity
    • Undeliverable mail--"[Random word]"
    • Returned mail--"[Random word]"
    • a [Random word] [Random word] game
    • a [Random word] [Random word] tool
    • a [Random word] [Random word] website
    • a [Random word] [Random word] patch
    • [Random word] removal tools
    • how are you
    • let's be friends
    • darling
    • so cool a flash,enjoy it
    • your password
    • honey
    • some questions
    • please try again
    • welcome to my hometown
    • the Garden of Eden
    • introduction on ADSL
    • meeting notice
    • questionnaire
    • congratulations
    • sos!
    • japanese girl VS playboy
    • look,my beautiful girl friend
    • eager to see you
    • spice girls' vocal concert
    • japanese lass' sexy pictures

    [Random word]の部分には、次のいずれかの単語が使用されます。

    • new
    • funny
    • nice
    • humour
    • excite
    • good
    • powful
    • WinXP
    • IE 6.0
    • W32.Elkern
    • W32.Klez.E
    • Symantec
    • Mcafee
    • F-Secure
    • Sophos
    • Trendmicro
    • Kaspersky

    メール本文の内容は、ランダムです。

    注意:

    • このワームは「スプーフィング」と呼ばれる技術を頻繁に使用します。このワームは、大量メール送信を実行する際に、感染先コンピュータ上で発見したメールアドレスからランダムに選択したものを「差出人」欄に表示するアドレスとして使用するため、実際には感染していないコンピュータから感染メールが他のユーザへ送信されてしまったという報告が数多く寄せられています。

      例えば、リンダ・アンダーソンのコンピュータがW32.Klez.H@mmに感染したとします。リンダはウイルス対策ソフトも最新のウイルス定義ファイルも使っていません。W32.Klez.H@mmがそのコンピュータから大量メール送信処理を実行する際、Lindaのパソコンからハロルド・ローガンの電子メールアドレスを発見した場合、ワームはハロルドのメールアドレスを「差出人:」として使った感染メールをジャネット・ビショップに送信します。感染メールを受け取ったジャネットはハロルドに連絡し、彼のメールアドレスから感染メールが届いたと苦情を言います。そこでハロルドがNorton AntiVirusを使って自分のコンピュータをスキャンしてみましたが、彼のコンピュータ自体は感染していないため、当然ながら何も検出されませんでした。

      最新版のNorton AntiVirusと最新のウイルス定義ファイルを使用している場合、すべてのファイルをスキャン対象に設定してシステム全体のスキャンを実行した結果何も検出されなければ、あなたのコンピュータはこのワームには感染していないことになります。

    • このウイルスが独自のSMTPエンジンを使って送信した電子メールが一見「メールサーバーから戻されたメール」に見える様式で届いたという報告が幾つか寄せられています。例えば、あなたのメールアドレスがjsmith@anyplace.comで、ある電子メールを送信しようとしたとします。しかしメールサーバーがそのメールの送信処理に失敗した場合、メールサーバーはpostmaster@anyplace.comという差出人アドレスを使い、送信の失敗を通知するメールをあなたに送信します。それが実際にはウイルスから送信された偽のメールだった場合、その添付ファイルにはウイルス自身が含まれています。その場合はもちろん、そのメールに添付されたファイルは絶対に開封しないでください。

    • 添付ファイルが免疫ツールであるという虚偽の情報を含んだメールも出回っています。以下は、そのようなメールの本文の一例です。

      Klez.E is the most common world-wide spreading worm. It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC.

      NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question,please mail to me.

    そのメールの受信者が適切な修正プログラムが適用されていないMicrosoft Outlook または Outlook Expressで受信した場合、添付ファイルが自動的に実行される可能性があります。これらメールクライアントの脆弱性および修正プログラムについては、下記のサイトをご覧ください。

    http://www.microsoft.com/japan/technet/security/bulletin/ms01-020.asp


    ウイルス感染
    このワームはW32.Elkern.4926というウイルスを\%Program Files% フォルダにランダムなファイル名で挿入し、それを実行します。

    注意:%Program Files% は可変です。このワームは、Program Filesフォルダの場所(標準ではC:\Program Files\)を探し、その場所にウイルスを挿入します。

    recommendations

    以下のシマンテック製品をお使いの場合には、次のように設定することで、この脅威に対するリスクを最小限に抑えることができます。


    Norton AntiVirus for Gateways (SMTP)

      ・bat, .exe, .pif and .scr の拡張子を持つ添付ファイルをブロックするように設定してください。

    Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

    • 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
    • 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
    • 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
    • パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
    • メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
    • ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
    • 従業員に対し、次のことを徹底させる。
      • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
      • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
      • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。

    removal instructions

    駆除ツールを使った方法

    駆除ツール
    Symantec Security Response では、W32.Klez@mmとW32.ElKernのすべての亜種を駆除するツールを配布しています。ツールを入手するには、こちらをクリックしてください。
    これらのウイルス、ワームの駆除には、この駆除ツールを使用すると効果的です。まずは、このツールで駆除を試みてください。

    W32.Klez.gen@mmが検出された場合には:
    W32.Klez.gen@mmは、W32.Klezのすべての亜種を検出する汎用検出名です。W32.Klez.gen@mmに感染しているコンピュータは、多くの場合、W32.Klez.E@mmあるいはW32.Klez.H@mmによる影響を受けています。ご使用のコンピュータ上でW32.Klez.gen@mmに感染しているファイルが検出された場合は、駆除ツールをダウンロードして実行してください。この駆除ツールはほとんどの場合、感染を駆除できます。


    Windows 95/98/Me上での手動駆除方法

    W32.Klez.H@mmが実行されてしまうと、多くの場合、Norton AntiVirusを起動できなくなり、駆除が困難になり、駆除作業には長時間かかることになります。このワームの駆除手順は、ご使用のOSにより異なります。

    以下の手順のうち、ご使用のOSに応じた手順を記載通りにすべて実行してください。この駆除手順は検証済みであり、ほとんどのケースに有効です。

    注意: このワームによる被害内容およびワームの実行回数によっては、完全に駆除できない場合があります。その場合には、コンピュータの専門家にご相談ください。

    1. 最新のウイルス定義ファイルをダウンロードします。
    Intelligent Updaterを使ってダウンロードし、Windowsのデスクトップにファイルを保存してください。後で行う駆除作業で最新版ウイルス定義が必要となるため、このステップは最初に必ず行う必要があります。
    Intelligent Updater を通じたウイルス定義のダウンロードは、次のページから行えます。

    http://www.symantec.com/region/jp/sarcj/defs.download.html

    Symantec Security ResponseのWeb サイトからIntelligent Updater を使用してウイルス定義ファイルをダウンロード、インストールする方法については、ドキュメント"ウイルス定義ファイルのインストール方法"をご覧ください。

    2. コンピュータをセーフモードで再起動します。

    1. コンピュータをシャットダウンし、電源を切り、30秒間待ちます。このステップは絶対に省略しないでください。
    2. コンピュータをセーフモードで再起動します。Windows NT以外のすべてのWindows 32-ビットOSはセーフモードで再起動することができます。具体的な手順については、"Windows 9x または Windows Me をセーフモードで起動する方法"をご覧ください。

    3. レジストリを編集します。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run キーに登録されているwink???.exeという値を調べ、winkファイルのファイル名を書き留めた後、その値を削除する必要があります。

    注意:システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず、"レジストリのバックアップ方法" をお読みください。

    1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。[ファイル名を指定して実行]ダイアログボックスが表示されます。
    2. regeditと入力し、[OK]をクリックします。レジストリ エディタが開きます。
    3. 次のレジストリキーを選択します。

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    4. 画面右側で、次の値を探します。

      Wink[ランダムな文字列] %System%\Wink[ランダムな文字列].exe
      WQK %System%\Wqk.exe

    5. Wink[ランダムな文字列].exeの部分に記載されているファイル名を書き留めます。
    6. Wink[ランダムな文字列]という値とWQKの値(存在する場合)を削除します。
    7. 次のレジストリキーを選択し、開きます。

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

    8. 画面左側の\Services キーの下から、次のサブキーを探します。

      \Wink[ランダムな文字列]
       
      存在する場合は削除します。

      注意:この値はWindows 95/98/Meベースのコンピュータ上にはおそらく存在しませんが、念のためチェックしてください。

    9. [レジストリ]-[レジストリエディタの終了]をクリックします。

    4. Windowsをすべてのファイルが表示されるように設定します。

    1. Windows エクスプローラを起動します。
    2. [表示]メニュー(Windows 95/98)あるいは[ツール]メニュー(Windows Me)をクリックし、[オプション]または[フォルダ オプション]をクリックします。
    3. [表示]タブをクリックします。
    4. [登録されているファイルの拡張子は表示しない]のチェックを外します。
    5. ご使用のOSに応じて、次のいずれかを実行します。

      • Windows 95: [すべてのファイルとフォルダを表示する] をクリックします。
      • Windows 98: [詳細設定]ボックスの[ファイルとフォルダの表示]フォルダの下にある [すべてのファイルとフォルダを表示する] をクリックします。
      • Windows Me: [保護されたオペレーティング システム ファイルを表示しない(推奨)]のチェックを外し、[ファイルとフォルダの表示]フォルダの下にある[すべてのファイルとフォルダを表示する]をクリックします。

    6. 警告ダイアログボックスが表示されたら、[はい]をクリックします。
    7. [適用]をクリックし、その後、[OK]をクリックします。

    5. 実際のWink[ランダムな文字列] ファイルを削除します。
    Windows エクスプローラを使ってC:\Windows\Systemフォルダを開き、Wink[ランダムな文字列].exe ファイルを探してください。(ご使用のシステムの設定によっては、.exe 拡張子は表示されない可能性があります。)

    注意: WindowsをC:\Windows以外の場所にインストールしていた場合は、Windowsをインストールしている場所で上記の作業を行ってください。

    6. ごみ箱を空にします。
    Windowsデスクトップ上にあるごみ箱アイコンを右クリックし、[ごみ箱を空にする]をクリックしてください。

    7. Intelligent Updaterを実行します。
    ステップ1でダウンロードしておいたファイルをダブルクリックし、確認メッセージが表示されたら[はい]または[OK]をクリックしてください。

    8. コンピュータを再起動します。

    コンピュータをいったんシャットダウンし、電源を切り、30秒間待った後、再起動してください。

    注意: このステップは絶対に省略しないでください。省略すると、再び感染するおそれがあります。

    Windowsを通常通りに起動させた後、W32.Klez.H@mm あるいは W32.Klez.gen@mmに感染したファイルが検出されたら、 [検疫]を選択することで検疫場所に隔離してください。この時点で見つかる可能性があるファイルは、Luall.exe、Rescue32.exe、Nmain.exeです。

    9. コマンドラインからNorton AntiVirus (NAV) を起動し、スキャンを実行します。
    このワームは一部のNAVファイルにダメージを与えるため、 必ずコマンドラインからスキャンを実行する必要があります。

    注意: ここで説明しているステップは一般ユーザ向けバージョンのNAVをお使いのお客様を対象にしたものです。Navw32.exeファイルは、エンタープライズ版のNAV(NAVCEなど)には含まれていません。また、NAVCEコマンドライン・スキャナのVpscan.exeは、このワームを駆除しません。

    1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。
    2. 次のコマンドを入力するか、あるいはコピー&ペーストします。

      NAVW32.EXE /L /VISIBLE

      その後、[OK]をクリックします。
    3. スキャンが実行されます。検出された感染ファイルはすべて[検疫]してください。

    10. コンピュータを再起動します。

    Windowsが通常通りに起動します。

    11. NAVを再インストールします。

    注意: Windows XP上でNAV 2002をお使いの場合、お使いのシステムによっては再インストールできない場合があります。その場合には、次の手順で再インストールを試みてください。

    • コントロール パネルを開きます。
    • [管理ツール]をダブルクリックします。
    • [サービス]をダブルクリックします。
       表示されるリストから、[Windows Installer]を選択し、その後[操作]をクリックし、[開始]をクリックします。

    具体的なNAVの再インストール方法については、"How to restore Norton AntiVirus after removing a virus" (英語)をご覧ください。

    12. コンピュータを再起動し、スキャンを再度実行します。

    1. コンピュータをいったんシャットダウンし、電源を切り、30秒間待った後、再起動します。

      注意: このステップは絶対に省略しないでください。省略すると、再び感染するおそれがあります。

    2. LiveUpdateを実行し、ウイルス定義を最新版に更新します。
    3. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。

    4. システム全体のスキャンを実行します。W32.Klez.H@mm あるいは W32.Klez.gen@mmとして検出された感染ファイルはすべて[検疫]してください。

    Windows 2000/XP上での手動駆除方法

    1. 最新のウイルス定義ファイルをダウンロードします。

    Intelligent Updaterを使ってダウンロードし、Windowsのデスクトップにファイルを保存してください。後で行う駆除作業で最新版ウイルス定義が必要となるため、このステップは最初に必ず行う必要があります。
    Intelligent Updater を通じたウイルス定義のダウンロードは、次のページから行えます。

    http://www.symantec.com/region/jp/sarcj/defs.download.html

    Symantec Security ResponseのWeb サイトからIntelligent Updater を使用してウイルス定義ファイルをダウンロード、インストールする方法については、ドキュメント"ウイルス定義ファイルのインストール方法"をご覧ください。

    2. コンピュータをセーフモードで再起動します。

    1. コンピュータをシャットダウンし、電源を切り、30秒間待ちます。このステップは絶対に省略しないでください。
    2. Windows NT以外のすべてのWindows 32-ビットOSはセーフモードで再起動することができます。具体的な手順については、次のうち、ご使用のOSに該当するドキュメントをご覧ください。

    3. レジストリを編集します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services キーを編集し、wink[ランダムな文字列].exe サブキーの値を調べ、winkファイルのファイル名を書き留めた後、そのサブキーを削除する必要があります。

    注意:システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず、"レジストリのバックアップ方法" をお読みください。

    1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。[ファイル名を指定して実行]ダイアログボックスが表示されます。
    2. regeditと入力し、[OK]をクリックします。レジストリ エディタが開きます。
    3. 次のレジストリキーを選択します。

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

    4. 画面左側の\Services キーの下から、次のサブキーを探します。

      \Wink[ランダムな文字列]

    5. Wink[ランダムな文字列].exeの部分に記載されているファイル名を書き留めます。
    6. Wink[ランダムな文字列] サブキーを削除します。
    7. 次のレジストリキーを選択します。

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    8. 画面右側で、次の値を探します。

      Wink[ランダムな文字列] %System%\Wink[ランダムな文字列].exe
      WQK %System%\Wqk.exe

      その値が存在する場合は削除します。

      注意:この値はWindows 2000/XPベースのコンピュータ上にはおそらく存在しませんが、念のためチェックしてください。

    9. [レジストリ]-[レジストリエディタの終了]をクリックします。

    4. Windowsを、全ファイルを表示するように設定します。
    このステップは省略しないでください。

    1. Windows エクスプローラを起動します。
    2. [ツール]メニューから[フォルダ オプション]を選択します。
    3. [表示]タブをクリックします。
    4. [登録されているファイルの拡張子は表示しない]のチェックを外します。
    5. [保護されたオペレーティング システム ファイルを表示しない(推奨)]のチェックを外し、[ファイルとフォルダの表示]フォルダの下にある[すべてのファイルとフォルダを表示する]をクリックします。
    6. [適用]をクリックし、その後、[OK]をクリックします。

    5. 実際のWink[ランダムな文字列] ファイルを削除します。
    Windows エクスプローラを使ってC:\Winnt\Systemフォルダを開き、Wink[ランダムな文字列].exe ファイルを探してください。(システムの設定によっては、.exe 拡張子は表示されない可能性があります。)

    注意: WindowsをC:\Windows以外の場所にインストールしていた場合は、Windowsをインストールしている場所で上記の作業を行ってください。

    6. ごみ箱を空にします。
    Windowsデスクトップ上にあるごみ箱アイコンを右クリックし、[ごみ箱を空にする]をクリックしてください。

    7. Intelligent Updaterを実行します。
    ステップ1でダウンロードしておいたファイルをダブルクリックし、確認メッセージが表示されたら[はい]または[OK]をクリックしてください。

    8. コンピュータを再起動します。
    コンピュータをいったんシャットダウンし、電源を切り、30秒間待った後、再起動してください。

    注意: このステップは絶対に省略しないでください。省略すると、再び感染するおそれがあります。

    Windowsを通常通りに起動させた後、W32.Klez.H@mm あるいは W32.Klez.gen@mmに感染したファイルが検出されたら、 [検疫]を選択することで検疫場所に隔離してください。この時点で見つかる可能性があるファイルは、Luall.exe、Rescue32.exe、Nmain.exeです。

    9.コマンドラインからNorton AntiVirus (NAV) を起動し、スキャンを実行します。


    このワームは一部のNAVファイルにダメージを与えるため、 必ずコマンドラインからスキャンを実行する必要があります。

    注意: ここで説明しているステップは一般ユーザ向けバージョンのNAVをお使いのお客様を対象にしたものです。Navw32.exeファイルは、エンタープライズ版のNAV(NAVCEなど)には含まれていません。また、NAVCEコマンドライン・スキャナのVpscan.exeは、このワームを駆除しません。

    1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。
    2. 次のコマンドを入力するか、あるいはコピー&ペーストします。

      NAVW32.EXE /L /VISIBLE

      その後、[OK]をクリックします。

    3. スキャンが実行されます。検出された感染ファイルはすべて[検疫]してください。

    10. NAVを再インストールします。

    注意: Windows XP上でNAV 2002をお使いの場合、お使いのシステムによっては再インストールできない場合があります。その場合には、次の手順で再インストールを試みてください。

    • コントロール パネルを開きます。
    • [管理ツール]をダブルクリックします。
    • [サービス]をダブルクリックします。
      表示されるリストから、[Windows Installer]を選択し、その後[操作]をクリックし、[開始]をクリックします。

    具体的なNAVの再インストール方法については、"How to restore Norton AntiVirus after removing a virus" (英語)をご覧ください。

    11. コンピュータを再起動し、スキャンを再度実行します。

    1. コンピュータをいったんシャットダウンし、電源を切り、30秒間待った後、再起動します。

      注意: このステップは絶対に省略しないでください。省略すると、再び感染するおそれがあります。

    2. LiveUpdateを実行し、ウイルス定義を最新版に更新します。
    3. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。

    4. システム全体のスキャンを実行します。W32.Klez.H@mm あるいは W32.Klez.gen@mmとして検出された感染ファイルはすべて[検疫]してください。

    追加情報

    偽の駆除ツール
    W32.Klez.H@mmが、次のように添付されているシマンテック駆除ツールを実行するように促す電子メールとして届いたという報告が寄せられています。そのメールはシマンテックから送られたものではありません。シマンテックでは、お客様から特にご依頼のない限り、そのようなメールを送信することは一切ございません。このようなメールを受信した場合は、添付ファイルを必ず削除してください。

    件名: W32.Klez removal tools

    本文:
    W32.Klez is a dangerous virus that spread through email.
    Symantec give you the W32.Klez removal tools

    For more information,please visit http:/ /www.Symantec.com

    差出人: av_patch@norton.com

    添付ファイル: Install.exe

    Novellサーバーをお使いのお客様へ:
    W32.Klez.H@mmはNovellサーバーを直接攻撃することはありませんが、Windows環境で動作中のNovellクライアントを介してNovellサーバーにアクセスし、(ログインスクリプトまたはその他の手段を使って)そこからファイルを実行され、感染が他のマシーンにも拡がるおそれがあります。

    KlezによるMacintoshへの影響については、"Are Macintoshes affected by the Klez virus?"(英語)をご覧ください。