ウイルスWin32/Kelihos.F BKDR_KELIHOSとは? 遠隔操作ボットネット
 
Windowsパソコンを狙ったウイルスの種類として バックドア に分類されてるトロイの木馬 Kelihos の紹介です。<日本でも感染報告があるコンピュータウイルス!
【ウイルス検出名例】
[Backdoor Kelihos] [Backdoor Win32 Kelihos] [Backdoor:Win32 Kelihos] [Backdoor:Win32/Kelihos] [BKDR_KELIHOS] [Kelihos F] [Win32/Kelihos] [LNK_KELIHOS] [Backdoor:Win32/Kelihos.F]
主な機能はこんな感じで、攻撃者にPCを遠隔操作されることになります。
  • 感染パソコンからメールアドレスの収集
    サイト更新で使うFTPソフト(FTPアカウント)の情報を引っこ抜く
  • 操られたゾンビPCとして迷惑メールを世界中に配信する
  • マルウェアのファイルや不正ページを保持するサーバーとして稼働する
操り人形でゾンビ状態に陥った感染PC群が大きな束(ボットネット)になり、世界に向けて迷惑メール(スパムメール)をバラ撒いてしまう片棒担ぎがメイン?
 
■ 大量スパムメール再び、年初の「KELIHOS」流行に学ぶ (ITpro)
http://itpro.nikkeibp.co.jp/article/COLUMN/20110420/359594/
 
■ Microsoftがボットネット撲滅作戦を続行 「Kelihos」もダウン (ITmedia)
http://www.itmedia.co.jp/news/articles/1109/28/news028.html
 
たとえば、2013年4月にアメリカで起こったボストンマラソンのテロ事件に便乗したウイルスメールの配信で感染マシンが悪用されたそう。
 
・ ボストンマラソン爆弾テロ事件に便乗したメール経由のウイルス感染攻撃
 
2016年1月にはネットバンキング不正送金狙いな日本語ウイルスメールも…。
 
・ Bebloh/Shiotobウイルスメール送信IPから分かる2つの事実 ボットネット

Kelihosウイルスの感染経路は?

Kelihos ウイルスの感染手口は、改ざん被害を受けてる一般サイトやブログを偶然アクセスした時や、侵害された広告配信サーバーを裏で読み込んだ瞬間にウイルス強制感染となるドライブバイ・ダウンロード のようです。
 
つまりは、下の4条件に1つ以上当てはまるWindowsパソコンは特に感染被害に巻き込まれる危険性が高いことになります。
  1. Adobe Flash Player が旧バージョンのまま更新されておらず放置してる
  2. 毎月配信されてる Windows Update が実施されてない
  3. Java が旧バージョンのまま更新されておらず放置してる
  4. Adobe Reader が旧バージョンのまま更新されておらず放置してる
ランサムウェア(身代金ウイルス)やネットバンキング不正送金ウイルスの感染原因がまさにこれで、この感染4条件に当てはまらなくようにするウイルス対策をやっておけばOK!
 
バージョン確認ツールを使った無料セキュリティ診断 をぜひ活用し、こういう有償セキュリティソフトたち たちはウイルス感染条件の解消に役立つとは限らないところに注意!

Kelihosウイルス感染! 被害者さんの声

ウイルス検出名「Backdoor:Win32/Kelihos.F」は、マイクロソフトの無料ウイルス対策ソフト Windows Defender や Microsoft Security Essentials のユーザーさんです。
 
Yahoo!知恵袋などに投稿されてるお話をピックアップ。。。 <特に感染報告は2013年に特に集中してる?
 
■ temp29.exe 一体何のことなんでしょうか。「ドライブにディスクがありません。ディスクをドライブ¥Device¥Harddisk1¥DR1に挿入してください。」 と表示されます。エラー表示のマークが発生しているので、何らかのエラーだと思います。ウィンドウの中には「キャンセル」「再実行」「続行」の三つが並んでいます。
対処法をお願いします。ちなみに事前に「Backdoor:win32/kelihos.f」というウィルスに感染しています。クリーンアップを完了させても、まだ感染しているようです。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14107212324
 
■ yahooニュース見てたら警告音がしてbackdoor win32 Kelihos.Fが検知されました
と出まして削除とした上で、トレンドマイクロのウィルスチェックで確認した所問題ないと出ましたが、大丈夫なのでしょうか?
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14107324334
 
■ ウィルスについてです
友人のPCがトロイの木馬に感染しました。Trojan:DOS/Rovnix.D というヤツらしいのですが、どうやったらPCから削除できるでしょうか?
出来ればソフトと、ウィルス削除までの解説をお願いしたいです。OSはWindows 7です
既に、もう1つのウィルス?らしきBackdoor:win32/kelihos.Fというのも製造されてしまったらしいです。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14112208084
 
■ Backdoor:Win32/Kelihos.Fというウイルスを検知しました
調べたらトロイの一種らしいです
一度、windowsdefender検知された後、自動的に削除されたのですが、再起動したらまた検知されたので消せてないみたいです
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12112298282
 
■ Backdoor:Win32/Kelihos.Fというソフトウェアが検出されてしまいました
検索しても対処法がくどくど書いてあって分からないのでどうすればいいのか分かりません
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10116013640
 
■ このウィルスどう対応すればいいでしょうか?
Backdoor;Win32/Kelihos.F 1回削除してもなんども出てきます
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13116282688
 
■ パソコンを起動していたら、Backdoor;Win32/Kelihos.Fと出ました。直ぐにCドライブのみですが、リカバリしました。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10112259595
 
■ Backdoor.Win32/Kelihos.F を削除する方法を教えて下さい。 - B... - Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11118247871
 
■ worm:w32/kelihos.A!memというウイルス?に感染しました。駆除方法を教えて下さ... - Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14108276109
 
マイクロソフトの無料ウイルス対策ソフトを利用してるということは、ファイアウォールのアウトバウンド側(送信側)が初期状態で機能してない Windows Firewall を使ってることが多いはずです。
 
ユーザー側で何らかの対処してないということで、Kelihos ウイルスに殺られて上で実害も伴うことになります。
 
■ ウィルス対策ソフトでウィルスが検知されました。BKDR_KELIHOS.SMFとJAVA_EXPLOYT.XMAです。
補足としては、すでにウィルスは削除済みとなっている状態ですが、外部送信したエクセルファイルそのものをウィルスバスターでスキャンしても脅威は見つかりませんとなります。影響を受けるファイルには次のファイル名が挙がっています。
C:\Users\ユーザー名\AppData\Local\Temp\jar_cache5830880316091256675.tmp
C:\Users\ユーザー名\AppData\Local\Temp\temp1757510525.exe
Java の危険な脆弱性を突いて Kelihos ウイルスに殺られてしまったようで、これはJavaの更新作業を行わず放置してたユーザーさん自身に根本的な原因があって、有名なウイル●バスターのせいではないです。

USBメモリのファイルがショートカット化

Kelihosは、他のWindowsパソコンへ拡散するワーム機能(WORM_KELIHOS)を持つ亜種があり、USBメモリ内に不正なショートカットファイル(LNK_KELIHOS)を作成してユーザーにうっかり起動させるパターンもあります。
[Shortcut to game ウィルス] [Shortcut to game 削除]
感染マシンに接続したUSBメモリからウイルスが検出された報告です。
 
■ おそらくウィルスなのですが・・・
USBメモリー内の「shortcut to game」や「game.exe」が一向に消えません。削除しても再登場。ウィルスバスターでも「ウィルスは検知されませんでした」と出るし・・・
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13107488793
 
■ 最近フラッシュメモリーに、「game」というアプリケーションが表示されます。その都度消していますが、メモリーを抜き差しするとまた表示されます。
これはウイルス感染しているということでしょうか。
本体に接続しているメモリー2本とも同じ症状です。一応ウイルスソフトでメモリーもスキャンしてみましたが、ともに異常なしでした。
怖いのでアプリケーションを実行したことはありません。 先日は他のファイルフォルダが勝手に隠しファイル設定になったりしていました。
特に「exe」の表示はありませんが、プロパティでみると拡張子は「exe」となっていました。
確かに「Shortcut to game」というアイコンも同時作成されています。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13107903948
 
■ PCがウイルスに感染しました。今日突然USBメモリ内のファイルがショートカットになり開けなくなりました。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14112120474
 
■ パソコンにUSBメモリを接続すると、game.exeというものが出てきます。削除しても次回接続時に出てきます。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11106951941
 
■ SDカードをパソコンに入れ、マイコンピューターからSDカードをクリックして表示させます。そうすると、DCIMと、shortcut to gameという2つが出てきます。
よく覚えていないのですが、今まではDCIMをクリックすると、写真が見れていたように思うのですが、今はDCIMをクリックすると、新しい画面でマイドキュメントが開いてしまいます。
http://okwave.jp/qa/q8105656.html
 
■ 緊急!USBメモリーのデータがどこかへ行ってしまいました。クリックしても、もとのホルダーが表示されず、
game.exe 799KB アプリケーション
shortcut to game 1KB ショートカット
元のフォルダ名 1KB 1ショートカット
の3つだけしかありません。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13106201158
 
■ SDを読み込むと変な表示になります。
画像は潰れてますが、元々はDCIM,MUSIC,PRIVATEのフォルダがあったのですが、今はそれに加えShortcut to gameのフォルダが追加されていて、また、フォルダの名前が書いてある左の、フォルダのマークの左下に矢印のようなものがついています。
容量は1KBで、以前からあったフォルダをダブルクリックすると「PCUser」の「マイドキュメント」に行ってしまいます。「Shortcut to game」はダブルクリックしても反応がありませんでした。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10107475650
 
■ 覚醒るしあんさんはTwitterを使っています: "SHORTCUT TO GAME ってファイルがあちこちにあるな…"
https://twitter.com/Lechien1902/status/336768735165702145
 
もともとUSBメモリ内に存在したファイルは、属性を変更され”隠しファイル”になるので、ファイルが消滅してしまったかのような状況になります。
 
その結果、すげ替えられたショートカットファイルの方を躊躇なく起動してしまうはずで、表面的に何も起こってないよう見えるけどKelihosウイルス感染マシンの出来上がり♪

クリック詐欺の挙動も

擬似的にクリック報酬型広告リンクを踏ませて、報酬を不正に得るクリック詐欺(Click-fraud)の挙動が訴えてるユーザーも Kelihosウイルス の感染が原因です。
 
■ 「初めてウィルスに感染したみたいです」
AVGの無料ウィルスソフトを使っていましたが、気付けば更新切れになっており、そこからブラウザが勝手にに立ち上がり、真っ白の画面に全て奪われます。
×のアイコンもなく、閉じる事も出来ません。
少したつと、英語の文章だけになり、数分ごとに広告だけがパラパラと左側や右側に出ます。
再起動しても同じくなり、良く見ると左下に「sev2012[.]comに応答」と出ます。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12117282012
 
■ パソコンと開くとhttp://sev2012[.]com/page_click.phpとゆうサイトに接続されます 今日いきなり出てきました
パソコンとつけてしばらくしているといきなり真っ白な画面になっていろいろな海外のサイトのURLが出てきてまわりの×ボタンとはスタートメニューがなくなった状態で表示されます!
 
このクリック詐欺用の不正なページは、ボットネットに組み込まれた感染マシン上にホスティングされます。
関連するブログ記事
Windows Vista/7/8 PCに対応! おすすめ無料ウイルス検査&駆除ツール 5選
・ tag5479347351 iframeサイト改ざんハッキング被害 不正JavaScriptコードtag1.php
・ 日本語ウイルスメール事例 ネットバンキング不正送金Bebloh/Shiotobの添付ファイル