Archivesページは、ホームページ「夢想の器」がWeb上にある限り、
 保管文書として残すものです。したがって、記述内容や掲載した情報
 などが古いものになってしまったり、リンク切れも発生します。
 予めご了承下さい。


リンクしてある記述がありますのでご注意下さい。
ホームページ上の画面をマウスなどで使って、ゆっくりと、なぞりますと矢印マークが、
指のマークに変化する所があります。
の所でクリックしますと、該当する関連ページへジャンプします。


Klezウィルスの発信元を調べる方法
2002年11月17日更新
随時更新していますので、Internet Explorerの「更新」ボタンを押してご覧下さい。

このページはKlezウィルスメール受信が続いて苦情先や苦情方法で困っている方のための
情報を掲載しています。


KlezウィルスHTMLメール添付ファイルで、
MS01-020セキュリティーホール悪用型
で送信されて来ます。
Internet Explorer(ver 5.01 または 5.5 のSP2なし)の使用者で、
セキュリティーホール修正をしていない方がOutlook Express等で、メール受信する
と、自動的に添付ファイルのウィルスプログラムを実行させてしまいます。

Klezウィルスは差出人Fromを偽装します。
したがってメールの差出人From=感染者ではありません。
本当のウィルス感染者は感染して、ウィルスメールを発信していることに気づいていま
せん。いつまでも同一差出人を偽装して、連続してウィルスメールを発信して来ます。
(ウィルス感染者が自分の電子メールソフトの送信履歴を見てもウィル
 スメール送信の履歴は残っていません。)

Klez以外で差出人を偽装するウィルス
新種ウイルス「W32/Brid」(仮称)に関する情報
図解: Bugbear とはどんなウイルスなのか?(McAFee)
新種ウイルス「W32/Bugbear」に関する情報
Sophos によるYaha-Eウィルス情報
Sophos、W32/Yaha-E を配布せず
  クリックして下さい。
Sophos によるとKlezウィルスのようにYaha-Eウィルスも差出人を偽造するそうです。

W32/Nimda に関する FAQホームユーザ/エンドユーザ向け
 〜情報処理振興事業協会セキュリティセンター
  クリックして下さい。
IPAによるとNimdaウィルスも差出人を偽装するそうです。


私の電子メールソフトはBecky!2.0で、受信当時はVer.2.00.11でした。
Becky!はHTMLメールを無効化設定ができる上、
Norton AntiVirusで受信メールを保護し、
ウィルスプログラムを二重に無効化したので、発信元を調べる操作は簡
単にできます。
(▲メールヘッダ情報を調べるときはウィルス感染しない工夫をして下さい。)

本当のウィルスの発信元を調べるには、メールヘッダ情報を調べると、
わかります。
電子メールソフト(メーラー)によって操作方法が違いますので、下記
のサイトで操作方法を調べてみて下さい。

メーラー別ヘッダ表示方法初心者のためのインターネット護身術
 
クリックして下さい。

msn Hotmailのメールヘッダを表示させておく方法
 オプション→メールの表示設定の順にクリックして、
 メッセージ ヘッダー
[標準] を選択すると、メッセージを表示したときに、
    差出人、宛先、送信日時、件名のみが表示されます。
[完全] を選択すると、すべてのヘッダー情報が表示されます。
[詳細] を選択すると、ヘッダーとメッセージのソースが表示さ
    れます。
なし 標準 完全 ・詳細
           ▲詳細を選んでOKボタンをクリックする。


私宛に届いたKlezウィルスメール          
下記の内容でKlezウィルスメールを受信しました。
差出人:友人のWebネーム <友人のアドレス>
宛先 :私のアドレス
件名 :Cellspacing
日時 :Sat, 25 May 2002 23:52:16 +0900 (JST)


▼以下が私宛に来たウィルスのメールヘッダの情報です。
Return-Path: <別人のアドレス>←別人のアドレス
Received: from
別人利用のプロバイダA社のサーバー
([
16*.**.***])←別人のIPアドレス
by 私が利用しているプロバイダのサーバー
with ESMTP id <20020525145243.
別人利用のプロバイダA社のサーバー>
for <私のアドレス>;
Sat, 25 May 2002 23:52:43 +0900
Received: from Dcinkswom (unknown [
16*.**.***])←別人のIPアドレス
by
別人利用のプロバイダA社のサーバー
with SMTP id 396F615366 for <私のアドレス>;
Sat, 25 May 2002 23:52:16 +0900 (JST)
From: 友人のWebネーム <友人のアドレス>←偽装された差出人
To: 私のアドレス←宛先
Subject: Cellspacing←メールの件名
MIME-Version: 1.0
Content-Type: multipart/alternative;
Message-Id: <20020525145216.
別人利用のプロバイダA社のサーバー>
Date: Sat, 25 May 2002 23:52:16 +0900 (JST)

これは差出人であるFrom:を書き換えたものだとわかります。

差出人偽装の証拠
Return-Path:がFrom: と同じ<友人のアドレス>になっていない。
□友人のIPアドレスではなく、別人のIPアドレスである。
□友人が利用しているプロバイダのサーバーでない。


電子メールソフトの設定メニューには、自分のアドレスや名前を入力する
部分があり、その部分を書き換えるだけで、
From:は誰でも簡単に書き換
えることができます。つまり、誰でも自分以外の誰かに簡単になりすまし
てメールを送信できるということになります。

メールヘッダ情報の読み方やKlezウィルスのようなメールヘッダを改竄す
るウィルスの詳細は下記のサイトを、ぜひ参照して下さい。
メールヘッダとは?〜ZDNetエンタープライズ
  クリックして下さい。
メールヘッダから分かる情報とは〜ZDNetエンタープライズ
  クリックして下さい。
迷惑メール・チェーンメール情報〜夢想の器
  クリックして下さい。

迷惑広告メール(spam)苦情先探索ツール集迷惑メール撲滅私的調査会
  クリックして下さい。
 メールヘッダ解析hdparのページにメールヘッダをコピー&ペーストして送信ボタンを押すと、
 苦情先が表示されます。上記のメールヘッダで試しましたら、苦情先のプロバイダのメール
 アドレスまで表示されました。Return-Pathを偽装していない場合は、この方法をお薦めし
 ます!


ウイルスがたくさん定期的に来る場合、なかなか止まらない場合
  クリックして下さい。〜迷惑メール(spam)撲滅私的調査会

ウイルスに感染した方ではなく、ウィルスが送り出すメールのターゲットになってしまった場合、
どのようにすれば逃れられるか等々の考察&情報。

Klez の感染者は誰か?Common Archivers Library - 統合アーカイバ・プロジェクト
   クリックして下さい。

Klez対策web
   クリックして下さい。
Klezウィルスメールが何度も来て、送信元プロバイダへの問い合わせ方法を紹介。
プロバイダーへの報告のテンプレートを併せて掲載。
最新のKlezウィルスのメールヘッダ偽装まで解説されています。
   
対応してくれたプロバイダ〜Klez対策web
     クリックして下さい。
 
発信元のサーバーのプロバイダ、組織名を調べる方法
Received: fromの16*.**.***というIPアドレスを下記のようなサイトで
検索します。

IPドメインSEARCH 
JPNIC Whois Gateway
Whois〜geektools
 クリックして下さい。

[ネットワーク名] や [組織名] 、Netnameからプロバイダの会社名や、
発信元サーバーの会社名、組織名などが判明します。
さらにGoogle検索で、会社名や組織名を検索します。
そこから、該当するホームページとメールアドレスがわかり、発信元
へ苦情と調査のお願いをメール送信します。
(社)日本インターネットプロバイダー協会
 
クリックして下さい。

発信元への苦情例
A社(株)御中
A社サポートセンター様
技術連絡担当者様

件名:Klezウィルス発信元調査と善処のお願い

はじめまして。
下記の日時で、
Sat, 25 May 2002 23:52:16 +0900 (JST)

御社の契約者の方が、私の友人のアドレスを偽装して
Klezウィルスメールを送信して来ました。

下記はメールヘッダ情報です。
Return-Path: <別人のアドレス>
Received: from別人利用のプロバイダA社のサーバー
([
16*.**.***])
by 私が利用しているプロバイダのサーバー
with ESMTP id <20020525145243.
別人利用のプロバイダA社のサーバー>
for <私のアドレス>;
Sat, 25 May 2002 23:52:43 +0900
Received: from Dcinkswom (unknown [16*.**.***])
by
別人利用のプロバイダA社のサーバー
with SMTP id 396F615366 for <私のアドレス>;
Sat, 25 May 2002 23:52:16 +0900 (JST)
From: 友人のWebネーム <友人のアドレス>
To: 私のアドレス
Subject: Cellspacing
MIME-Version: 1.0
Content-Type: multipart/alternative;
Message-Id: <20020525145216.
別人利用のプロバイダA社のサーバー>
Date: Sat, 25 May 2002 23:52:16 +0900 (JST)


別人のアドレスは御社の契約者で、発信元です。

御社の契約者から、友人のアドレスを偽装されて、Klezウィルスメール
を送信されており、友人も私も大変、困っております。
よろしく調査の上、ご誠意ある回答と善処をお願い致します。

                               以上


Klezウィルス発信元プロバイダA社からの返信メール
  Aisora様

  お問い合わせいただいた件につきまして、ご案内致します。

  頂戴したヘッダ情報を元に調査致しましたところ、該当の
  送信者は確かに弊社ユーザであることを確認致しました。

  該当のユーザにはウィルスを駆除するよう注意を含む警告
  メールを送信致しました。

  尚、ご指摘の「W32.Klez.H@mm」というウィルスは感染す
  ると、
  From: アドレスを偽装し、自動的に不特定多数のメールアドレス
  宛てにウィルスメールを送信する、という特性を持っております。

  今回のメールに関しましても、恐らくは送信者の意図なく、
  送信されたものではないかと存じます。

  またA社では5月15日よりメールウィルスチェックサービスを提供
  開始致しており、今回ご指摘いただいた、5月25日23:52:16付けの
  Aisora様宛のメールつきましても、調査致しましたところ、
  既に弊社メールサーバにて 駆除を行っておりました。

  ウィルスは駆除された状態にてメールの配信を行っておりますので、
  感染する恐れはございません。
  ご安心いただきますようお願い致します。

  さらにご不明な点がございましたら弊社サポートセンターまで再度
  お問い合わせいただきますようお願い致します。


このKlezメールはNorton AntiVirusで検知されましたが、添付ファイルがプロバイダA社
  のウィルスチェックサーバーで削除されて送信されていることが判明しました。
 
このような丁寧なメールを頂いた誠意あるプロバイダAとは、JENS SpinNetさんです。


Klezウィルス参考サイト
Klez系ウィルス感染にしたら、駆除ソフトや、ワクチンソフトは無意味です。
初心者の方の場合は、一番確実なのは、パソコンをリカバリ(出荷状態)に戻す作業をすることです。
なお、Klezは特定された日に活動するように記載されていますが、もともと双子のウィルスで、
もうひとつのウィルスElkernは常駐してWindowsのすべてのバージョンの.exeファイルに感染
します。
さらに、面倒なのは既に別のウィルスに感染して、このKlezに感染したヒトからのウィルスは、
その別のウィルスまで添付してメール送信して来る場合があることです。
つまり、Klezで2種類のウィルス、別のウィルス1種類で合計3種類のウィルスに感染させる事
になるのです。
一応、下記に無償ウィルスワクチンリンク集に、Klez駆除ツールがあります。

ウィルス感染しないためには

Klezウィルス感染早期発見方法

無償ウィルスワクチンリンク集〜W32.Klez駆除ツールがあります。

Klezのよくある質問集パソコンレスキュー

W32/Klez に関する FAQ〜情報処理振興事業協会セキュリティセンター(IPA/ISEC)

W32/Klezウィルス亜種に関する情報

メール差出人を詐称するワーム・KLEZ あなたがワーム※1送信者に疑われる可能性

クレズ対策Web〜trendmicro社

Klezウィルスとは〜McAFEE

W32/Klez.e@MM〜McAFEE

W32/Klez.h@MM〜McAFEE

ウイルス情報 Klez F-Secure

ウイルス情報 Klez.H 〜F-secure

「Klez」にまた新亜種 2002年4月18日 ZDNN記事

Klezの変種に秘密を暴露する機能  2002年4月22日 ZDNN記事

拡散続けるKlezワーム。無防備なユーザーが被害に 2002年4月25日 ZDNN記事

Klez,感染率でSirCam,Nimdaを超える 2002年4月30日 ZDNN記事

ウイルス1つに数百の亜種 2002年4月30日 ZDNN記事

KlezにCIHウイルスが付いてくる 2002年5月7日 ZDNN記事

KlezEの感染者は今どのくらい?〜トレンドマイクロ社感染状況

KlezHの感染者は今どのくらい?〜トレンドマイクロ社感染状況

今世界で一番流行っているウィルスは?〜MessageLabs社のVirusEye