- 2005/05/22(日)11:18:33
- 亜種も登場、まだまだ2ちゃんねるを荒らし続ける「山田ウイルス」のその後
メンドいので、ほとんど全部転載。
-------------------------------------------------
先日掲載された、通称「山田ウイルス」に関する記事は、このマルウェアに
対する注意を引き起こす効果はあったようだが、まだ事態は収束していない
ようだ。
あれから三週間が経過した現在もなお、このウイルスが2ちゃんねるの多数の
板を荒らしている状況は変わらない。前回よりも具体的なデータ数を加えて、
再度警鐘を鳴らしたい。
●いまだ減らない感染PC
まず、今までの流れを簡単に説明しておこう。
通称「山田ウイルス」は、トロイの木馬に分類されるマルウェアだ。
オリジナルと見られるファイルは、5月10日にとあるアップローダに掲載された。
これについては、トレンドマイクロの詳細情報ページが詳しい。
なおシマンテックはこれを一般的な「Backdoor.Trojan」に分類しており、
詳細データはない。
本体は「見かけをフォルダアイコンに偽装した実行ファイル」だ。
フォルダに見せかけることで、ファイルサイズが大きくてもユーザーが疑いを
持ちにくいようにしていた。ただし、オリジナルが登場したアップローダの
最大容量は5MBまでとなっていたためか、オリジナルのファイルサイズは
4MB強と比較的小さい。
筆者は実際に試してはいないが、このマルウェアが実行されると、以下の
行動を取ると言われている。
まず「3」のhostsファイルの書き換えによって、DNSの名前解決が
変更されてしまう。本来ならばアンチウイルスベンダーやWindows Updateに
つながるホスト名の解決が変更され、ユーザーが意図しないうちにまったく
別のホストに誘導されてしまう。オリジナルでは民主党のWebサイト(210.253.211.2)へ、また亜種は社民党サイト(164.46.159.101)へと
誘導するようだ。結果として、Windowsのパッチ適用やウイルス対策ソフトの
更新を妨げ、セキュリティを低下させるものだ。
また「4」と「6」はペアになった行動で、自らスクリーンショットを取り、
Webサーバを立てて公開する。そして、自分自身を示すURLを2ちゃんねるに
書き込むのだが、残念ながら多くの場合、ユーザーはサーバの公開に気づかない。
ただし、プライベートアドレスが指し示されるなどして、幸いにして公開が
失敗する例も多い。
2ちゃんねるの多くの板(カテゴリ)への書き込みは、オリジナルタイプでは
21のサーバに分散している125の板の中からランダムに行うようだ
(中には書き込みができない板も指定されていた)。書き込み内容は以下の
ようなものだった。
こうした書き込みは現在も続いているものの、2ちゃんねる側ではオリジナルも
含んだ一連のマルウェアによる書き込みを阻止しており、見かけ上は収拾して
いる。だが、実際には、毎日600程度のIPアドレスから行われる約5万の
書き込みをフィルタで阻止しているだけで、見かけこそ減ったものの、活動中の
マシンはまだ多いようだ。
(略)
●アンチウイルスソフトでは不十分
少なくない数のPCが山田ウイルスに感染したままになっている理由として、
このマルウェアおよびその亜種は、「アンチウイルスソフトでは完全には
検出できない」という点が挙げられる。
以前の記事でも言及したが、山田ウイルスは再感染能力を持たず、感染元と
なるトロイの木馬本体のファイルは見つけにくい。また、過去に見つかっている
亜種のうち1つのファイルサイズは巨大で、通常のアンチウイルスソフトベンダー
への検体提供手段では送付が困難だ(ちなみにこれまでの検体は、有志の手に
よってアンチウイルスベンダーにCD-Rで提供された。また筆者もできる範囲で
収集した検体を提供している)。
(略)
2ちゃんねるサイドでも万全な対応を行えない状況のようだ。もともと
2ちゃんねるでは、特定メッセージを大量に投稿する「コピペあらし」が
しばしば発生しており、こうした行為への対応は比較的迅速だった。
したがって前述のとおり、山田ウイルスによる書き込みの阻止はフィルタに
よって比較的容易に行えていた。
だが最新亜種では、投稿の内容をランダム化することで「対策」への
「対応」を行っているようだ。その結果、最近では山田ウイルス亜種による
2ちゃんねるへの投稿が再び目立つようになった(ちなみに先の表は、
フィルタリングされたオリジナルによる書き込み数を元にしたものであり、
亜種によるランダム投稿は含まない)。
ランダム文字列を用いた書き込みは、以下のような感じになる。
このように、亜種は「www」「うぇ」「おk」や「ぷぷぷ」といった
意味のない文字列をランダムに組み合わせて書き込むようになっており、
2ちゃんねるが用意した投稿フィルタをすり抜けているようだ。なお、
ここで挙げた書き込みでは、IPを元に生成された「ID」がすべて異なっているが、
これは、各投稿がそれぞれ別のIPアドレスから行われていることを意味する。
トレンドマイクロは5月18日現在、「TROJ_MELLPON.A-N」のパターンを
提供している(パターンファイル「2.631.00」にてTROJ_MELLPON.H/I/J/L/Nに
対応)。TROJ_MELLPON.Aは「危険度:僅少/ダメージ度:小」という
評価だったが、TROJ_MELLPON.B/D/E/Fでは「ダメージ度:中」、
TROJ_MELLPON.Lでは「ダメージ度:高」という評価になっている。
2ちゃんねるサイドも先のランダム亜種が行う書き込みに対するフィルタを
強化したようで、上記のような「よくわからない投稿」を目にするケースは
明らかに減っている。
だが、それは対処療法にすぎない。かつてMS Blast(Blaster)や
Code Redといったウイルスが猛威を振るった後、多くのマシンで対処が
なされた。それでもなおこれらのワームが吐き出す攻撃パケットは、
インターネット上のトラフィックとして少なからず残ったし、現在も
継続している。山田ウイルスの場合も同じように脅威が継続していると
言えるだろう。
●怪しいファイルやフォルダは実行しない
手元のPCが山田ウイルスに感染しているかどうかを確認する方法はいくつか
ある。
まずWebブラウザで「http://127.0.0.1/」、つまり自分自身にアクセスし、
反応があるかどうかを確認するという手段が一般的だ。大抵のマシン、特に
自宅で利用しているPCの場合、httpサーバを実行しているケースは少ないため、
上記のアドレスにアクセスしてもエラーになるはずだ
(IEの場合は「ページが見つかりません」と表示される)。
より確実にチェックを行うならば、Windows 2000/XPの場合はコマンド
プロンプトから「netstat -a」を実行し、httpのLISTENING表示がないか
確認するのがよいだろう。もしこうした文字列があれば、Webサーバの類が
動作していることになる。
ただし、ルータやパーソナルファイアウォールを適切に使っている場合、
PC上でWebサーバが起動していたとしても外部には公開されず、2ちゃんねるへ
書き込みがなされるという以外の被害はない。誰かが書き込み中のURLを
クリックしてアクセスを試みたとしても、PCの内容をのぞかれるという
最悪の事態までは免れる、ということだ。
また山田ウイルスへの対症療法ということになるが、アウトバンド通信の
監視が可能なパーソナルファイアウォールソフト、もしくはWebフィルタリング
ソフトを通じて、山田ウイルスによる2ちゃんねるへの書き込みを監視すると
いった手法もある。
ただ、亜種によってはパーソナルファイアウォールソフトの動作を
停止させるものが存在するようだ。
以下の方法もマルウェア全般のチェックに有効だろう。
・アンチウイルスソフトの詳細画面を見て、パターンファイルの日付を
チェックする。インターネットに接続しているのにパターンが古い場合
(現在トレンドマイクロの「ウイルスバスター」は米国時間の月、水、金、
シマンテックの「ノートンアンチウイルス」は木曜日に定例アップデートを
行い、それ以外にも緊急リリースが行われている)は、何らかのトラブルが
あるものと思われる。
・「C:\WINDOWS\system32\drivers\etc\hosts」(Windows XPの場合)を
チェックし、怪しげなリストがないことを確認する。
・レジストリ(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)
に怪しげな項目がないか確認する。この項目はソフトウェアのインストールに
よって増えることもあるため、問題のない平常時の項目を知っておく必要がある。
なお山田ウイルスの場合、svchost.exeの名前を偽装に用いている
(亜種では別の名称である可能性もある)。上のレジストリからsvchost.exeが
呼びだされる可能性は少ないため、まずsvchost.exeの位置を確認し
「C:\WINDOWS\system32\svchost」以外のものを指定している場合は
ただちに対応する必要があるだろう。
・スタートアップフォルダ「スタート→プログラム→スタートアップ」の中に
見覚えのないショートカットやプログラムがないか確認する。このときは
名称やアイコンで判断せず、プロパティを見てリンク先を確認する必要がある。
起動時に常駐するタイプのマルウェアは、レジストリもしくはスタートアップを
悪用して実行されるものが多い。なお、山田ウイルス亜種の中にはレジストリでは
なく、スタートアップを利用して起動するものも発見されている。
一連のチェック作業は普段から習慣付けておくとよいが、何よりも
大切なことは「怪しげなファイルは実行しない」ことだ。
特に、見かけをフォルダや圧縮ファイルのように偽装するマルウェアは多い。
出所の怪しいところからファイルやフォルダを入手したとしてもすぐに
ダブルクリックはせず、右クリックメニューから「開く」を行うよう
習慣付けるのもよいだろう。プログラムの場合は「開く」の下に
「別のユーザーで実行」メニューが、フォルダの場合は「エクスプローラー」
メニューが表示されるため、これで違いに気づくこともできる。
もう1つ、アンチウイルスソフトは新種のマルウェアに関して万能ではないと
いうことは、頭の片隅に入れておくことも重要だ。「完全スキャンしても
ウイルスは見つからないから安全」とは言い切れない。つい先日明るみになった
価格.comのWebサイトを経由して広がったウイルスのケースからも分かることだ。
http://www.itmedia.co.jp/enterprise/
-------------------------------------------------
http://headlines.yahoo.co.jp/hl?a=20050521-00000001-zdn_ep-sci
|