Klez_Hとメールソフトの関係

Klez_Hに感染したんですが、友人のところにはどこにもウイルスは行っていなかったのです。
（念のため、私のメルアドで行くとは限らないタイプだということはわかっています。）

メーラがアウトルックではなく、日本製のフリーソフトを使っていたためかな？と思ったのですが、よくわかりません。

同じKlez_Hに感染した人は、OEを使っていて、アドレス帳に載っていた人たち全員にウイルスメールが行ってしまったとのことでした。

ウイルス関係詳しい方、回答をお願いいたします。

No.5 回答者： nagare 回答日時： 2003/03/12 13:34

>私のメーラで設定しているSMTPを使用せずに、Klez独自のSMTP（エンジン？）を使って利用可能なSMTPサーバを探し出してウイルスメールを不特定多数に送信する、という認識でいいのでしょうか？？？？？？？

クレズはOE(OUTLOOK)をターゲットにしているため、
OE(OUTLOOK)に設定されているSMTPの情報を使っていることは確かです

Klez独自のSMTP（エンジン？）というのは、クレズ自体がmailerということです

mailerはいろいろありますが、有名でないmailerの方がウィルスに強いです
(ターゲットにされない)

No.4 回答者： HUTABA 回答日時： 2003/03/08 10:44

#1です。

＞ウイルスに感染するということと、プログラムが実行されるということは別物だということなのでしょうか。

別というか何と言うか…
Klezは、感染するとシステム日付が奇数月の6日に特定の拡張子のファイルを破壊します。
もちろん破壊されたファイルは直りません。
そして、そういう悪さをするウィルス（自分自身）を不特定多数に送信するんです。

＞ということは、たとえば、マイドキュメントに入っているワード文書に書かれているメルアドや、インターネット一時ファイルに入っているサイト（HTML）に書かれているメルアドを拾う、ということですか？

そういう事です。
#1の回答にある拡張子のファイルが狙われます。

＞利用可能なSMTPサーバを推測する、というのは、どういうことでしょうか？？

SMTPというのはメールを送信する際に使用される物です。
メールは、メールを受け取るサーバに「もしもし、これからメールを送りますよ」と言ってメールを送信し、受け取った側が「このメールはうち宛じゃないな」と判断したら、さらにSMTPで他の受け取り先にメールを送信し…という感じで送られます。
そしてKlezは、aoi-mさんのパソコンから使用できるSMTPサーバを探し出して、勝手にメールを送信しようとします。

参考URL：http://www.trendmicro.co.jp/klez/whats.asp

この回答への補足

回答有難うございます！

>そういう悪さをするウイルス（自分自身）を不特定多数に送信する

というのは、たとえば感染してからすぐ行われるんでしょうか。プレビューしてしまった後に、オンラインスキャンをかけにいってしまったので、すぐ回線を切断しなかったんです。だから、すぐ送信されてしまうのだとすると、まずかったのかな、と思いました。


スキャンなどで感染したことが判明した後、OSを再インストールして、私のメーラのアドレス帳に入っていた人たちに警告のメールを送ったのですが、HD中のファイルに記載されているメルアドの人（知っている人とは限りませんが）にも送信されている可能性があるということですよね？
しかし、わたしのメーラでも、受信してプレビュー、感染したという事実があったにもかかわらず、なぜメールがひろまらなかったのか、いまいちよくわかっておりません。
アウトルック系でなかったから、ただそれだけの問題だったのでしょうか？

＃１でおっしゃっていた、アドレス帳の拡張子はadrだったのですが、アウトルックは違いますよね。
もし私の使っているメーラのアドレス帳の拡張子がアウトルックのものと同じだったら…どうだったんでしょう？？

SMTPについてのご説明、有難うございました。
よくわかりました～。

補足日時：2003/03/08 11:08

この回答へのお礼

すいません、上の続きです（お礼の欄なのに…涙）

SMTPについてですが、
ご説明を読んで、理解したことが果たして正しいのかどうかわからないのですが、

私のメーラで設定しているSMTPを使用せずに、Klez独自のSMTP（エンジン？）を使って利用可能なSMTPサーバを探し出してウイルスメールを不特定多数に送信する、という認識でいいのでしょうか？？？？？？？

頭の悪い質問ばかりですみません。よろしくお願いいたします。

お礼日時：2003/03/08 11:22

No.3 回答者： nagare 回答日時： 2003/03/07 12:31

ちょっと補足します

--
また、Windowsのアドレス帳、ICQデータベース、ローカルファイル（.htmlやテキストファイル）から探し出したメールアドレスに対し、自分自身を添付した電子メールを送りつけます。このワームは独自のSMTPエンジンを含んでおり、利用可能なSMTPサーバを推測しようとします。
--

クレズはSMTPエンジンを含んでいるのですが、自分自身を添付した電子メールを送ります
クレズ自体はメール(OE,OUTLOOK)を開いたりあるいはプレビューしただけで自動的に自分自身が実行しますので、違うmailerの場合は確率的に条件が揃わない
ということです

この回答への補足

＞このワームは独自のSMTPエンジンを含んでおり、利用可能なSMTPサーバを推測しようとします。

SMTPという文字はメールの送信のときに見たような気がしますが…なんのことかよくわかっておりません。

利用可能なSMTPサーバを推測する、というのは、どういうことでしょうか？？

＞クレズ自体はメール(OE,OUTLOOK)を開いたりあるいはプレビューしただけで自動的に自分自身が実行しますので、違うmailerの場合は確率的に条件が揃わない
ということです

こちらはよくわかりました。有難うございます。


初歩的な質問ばかりですみませんが、よろしくお願い致します。

補足日時：2003/03/08 09:27

この回答へのお礼

＃２で紹介してくださったアドレスで、
＞このワームは独自のSMTPエンジンを含んでおり、利用可能なSMTPサーバを推測しようとします。
という件は理解できました。

有難うございました。

お礼日時：2003/03/08 09:33

No.2 回答者： nagare 回答日時： 2003/03/07 12:02

>メーラがアウトルックではなく、日本製のフリーソフトを使っていたためかな？と思ったのですが、よくわかりません。

OE,OUTLOOKを使ってMAILを送信します
OEを使っていない(正しくは、使えるように設定をしていない)場合は、大丈夫です
--------
Microsoft OutlookおよびOutlook Expressの脆弱性を利用することによって、ユーザがメールを開いたりあるいはプレビューしただけで自動的に自分自身が実行されるように設計されています。
--------

参考
W32.Klez.H@mm:Windowsのアドレス帳、ICQデータベース、ローカルファイルから探し出したメールアドレスすべてに対し、自分自身を添付した電子メールを送信する。
ネットワーク共有を介して感染もする。
http://www.symantec.com/region/jp/sarcj/data/w/w …

W32.Klez.E@mm:ローカルのファイル、および、OutlookやICQのアドレス帳に登録されているアドレスにメールを送信する。
自分自身をネットワーク共有にもコピーします。
http://www.symantec.com/region/jp/sarcj/data/w/w …

この回答への補足

回答有難うございます。

アウトルック系でなかったので無事だったのですね。
ただ、感染は確かにしていたはずなのです。
オンラインスキャンや、AVGで感染が確認されたので…。
ウイルスに感染するということと、プログラムが実行されるということは別物だということなのでしょうか。

ローカルファイル――というのは、自分のHDの中のファイルのことですよね。（た、確か…。）
ということは、たとえば、マイドキュメントに入っているワード文書に書かれているメルアドや、インターネット一時ファイルに入っているサイト（HTML）に書かれているメルアドを拾う、ということですか？

初歩的な質問でお恥ずかしいのですが、よろしくお願いいたします。

補足日時：2003/03/08 09:08

No.1 回答者： HUTABA 回答日時： 2003/03/06 19:24

aoi-mさんがお使いのメールソフトのアドレス帳ファイルの拡張子は何でしょう？

Klezは特定の各章死のファイルを検索し、その中に書かれたメールアドレスに向けてメールを送信します。
[MP8,EXE,SCR,PIF,BAT,TXT,HTM,HTML,WAB,DOC,XLS,CPP,C,PAS,MPQ,MPEG,BAK,MP3]

KlezについてはKlez対策Webというのもあります。
そこでKlezについての詳しい情報が得られますよ。

参考URL：http://www.trendmicro.co.jp/klez/

この回答への補足

ありがとうございます。
調べてみましたら、

.adr

でした。

補足日時：2003/03/06 19:38