「弾はまだ残っとるがよ」――2つのマルウェア発生、Winny上で個人データ流出中

Winny上で威力を発揮するトロイの木馬がまたもや登場した。「欄検眼段」と「仁義なきキンタマ」の2つが、感染した個人のデータをネット上にばら撒いている。

[小林哲雄，ITmedia]

　これで何度目になるかわからないが、Winny上で威力を発揮するトロイの木馬の新種、2種類が現れ、個人データをばら撒いている。被害者は多く、しかも原稿執筆時点ではアンチウイルスソフトで検知されない（注：後述するが、3月19日になってトレンドマイクロが対応した模様だ）。

「欄検眼段」はデジカメデータ専門？

　2種類流通しているトロイの木馬のうち、通称「欄検眼段」は、1カ月以上前から話題になっていた（データ流出は2月上旬から続いている）。これは、主にデジカメのデータをWinny上にバラ撒くトロイの木馬だ。当初は「exif情報付きの画像だけ放流するのか？」とも言われていたが、実際にはもっと単純な動作を行っているようだ。

　欄検眼段の犯人となるプログラムのめぼしは1カ月以上付かずにいたが、どうやら、Winny上で流れているいくつかの「市販アプリのインストーラー」（もちろんこれはウソだが）が犯人と確定されたようだ。こうしたアプリのインストーラーを実行すると、裏側でトロイの木馬本体がインストールされ、再起動時に自動実行される。

　欄検眼段の本体は、HDD中にある「DSC*.JPG」ファイルを探し出す。そして、ドライブ名とフルパス名をつけた状態（たとえば「欄検眼段_ドライブ名_ボリューム名_フォルダ名_……フォルダ名_ファイル名からDSCを除いたもの.GJB」という形式）で、新規に作成したWinnyのアップロードフォルダ（c:\temp000）にそれら画像データをコピーする。

　デジカメのデータをパソコンで管理している場合、フォルダの名前は変更し、分かりやすい名称を付けているが、ファイル名までは変更しない人が多い。このような状況で欄検眼段が入り込むと、Winnyを通じてその「分かりやすいフォルダ名」ごと画像がネット上に流出し、場合によっては耳目を集めてしまう。

　もしCドライブのルートフォルダに「temp000」というフォルダが作られていたら、欄検眼段の感染を疑うとよいだろう。感染すると、C:\Windows\Sysytem32\に「IMJPMlG.EXE」という形で居座るようだ。欄検眼段本体のタイムスタンプは2005年なので、本来の「IMJPMIG.EXE」とは容易に区別できる。

さらなるデータ流出を行う「仁義なきキンタマ」

　もう1つのWinny専用ワーム風トロイの木馬、「仁義なきキンタマ」（通称）は、以前紹介した「仙台ギャラクシーエンジェルズ」（通称）を一段と強化したようで、さらにプライバシーにかかわるようなデータを流出させている。

　推測ではあるが、初期感染ファイルがWinny上に出たのが3月14日（同日20時過ぎに、このトロイの木馬による流出データを確認している）であり、比較的新しいものだ。いわゆるAntinny系のワーム機能を備えており、感染者のPCから流出するデータ（「[仁義なきキンタマ] ○○のドキュメント.zip」という形で流出している）の中に、感染用ファイルが含まれているのが特徴だ。

　本体は、Anttinyでも使われている「フォルダファイル偽装EXE」形式で流通している。実際には実行ファイル形式（.exe）だが、ファイル名にスペースを加えることでフォルダに見せかけるという、単純な手口だ。

　原稿執筆段階で、CRC32が異なる2種類のファイルが確認されており、他にも亜種は存在するという情報もある。

晒しの範囲は一段と広く、悪質に

　「俺のキンタマ」で知られるAntinny系マルウェアは、作業中のデスクトップ画像を公開してしまうところに問題がある。昨年夏に登場した「仙台ギャラクシーエンジェルズ」は、それに加えてHDD上の重要（かもしれない）メールまで公開するため、プライバシーの侵害という点でも問題となっていた。

　「仁義なきキンタマ」も、感染するとランダムな時間で感染者PCのスクリーンショットを公開する（データは「[仁義なきキンタマ] ○○のデスクトップ（YYYYMMDD-HHMM）.jpg」という形で流出している）。

　そのうえ、先に説明したzipファイルに含まれる形でOutlook系メールファイル（.eml/.dbx）に加え、Excel（.xls）、Word（.doc）、PowerPoint（.ppt）、そしてテキストファイル（.txt）のデータまで流出する。まさに「仁義なき」状態だ（ただし、亜種があるのか、その他のファイル形式のデータが流出しているケースも存在している）。時節柄懸念される、個人情報流出のきっかけになるおそれもある。

　このうちtxtファイルにはIEのCookieファイルが含まれているため、利用しているWebサイトでCookieにIDとPasswordを保存する使い方をしていると、悪用され、不正アクセスの原因となる可能性が高い。また、Winnyの上下にあるタブファイルも含まれるため、その人のWinnyによる収集あるいは興味の対象がより明瞭になってしまう。

　感染の元となるデータはいくつか見つかっており、手元で確認できたものはMP3データの圧縮ファイルとなっていた（他の種類もあるかもしれない）。過去にいくつか出現したAntinny系のファイルではMP3データを装う例はあまりなかったためか、あるいは音楽データを収集する人にフォルダ偽装のテクニックが知られていなかったのか、感染者はやはり多い。

　しかしAntinny系トロイの木馬は感染者が多い分、反応も早い。流出データ中にトロイの木馬本体が含まれているため、すでにアンチウイルスベンダーへの検体提供はなされているようだ（検体を受け取っていないベンダーは、ご連絡いただければ提供可能だ）。

対処はとにかく「君子危うきに……」

　「違法なものに手を出さない」というのは当たり前の話だ。市販ソフトの（シリアル番号を入れなくてもよいと称する）クラック版というのは魅力的に聞こえるかもしれないが、何が仕込まれているか分からないという意味で、一段と危険なものである。

　また、トロイの木馬は、どのようなジャンルのファイルにも仕込むことができる。すでに知られている問題点でも、相手を変えればまだ有効であることを示している。

　しかも新規のマルウェアに関しては、特に肝心の初動段階では、やはりアンチウイルスソフトは無力であることが明白だ。事実「欄検眼段」に関しては「欄検眼段という名前でファイルを放流するマルウェアがあるようだ」ということが話題になってから、1カ月以上も対応がなされなかった。この原因は、感染元となるファイルが判らなかったため、検体を送ることすらできなかったという事情がある。

　Winnyという半ば日本ローカルな環境で効力を発揮するためか、この仕組みを悪用してボット的な動作を行うマルウェアはまだ確認されていない。だが、作者の悪質度が増せばボットが出ないとも限らない。そうなれば、情報流出で本人がダメージを受けるだけでなく、周りにも迷惑をかけることになるだろう（関連記事）。

　いつものことだが「君子危うきに近寄らず」である。

　なお脱稿後、アンチウイルスベンダー各社が対応パターンを出しつつあることが確認できた（トレンドマイクロは3月19日にパターンファイル「2.504.00」で対応し、「TROJ_UPBIT.A」として検出するようだ）。ただし、検知はまだ万全ではないようなので、過信は禁物だ。

　3月22日早朝追記：3月21日になり、さらにもう一種の仁義なきキンタマの亜種が発見されている。対して、アンチウイルスベンダーの対応も徐々に進んでいる。

　シマンテックは3月21日付けのパターンファイル（「インテリジェントアップデート」の形で提供されており、Webから手動でダウンロードする必要がある）で、仁義なきキンタマのうち筆者が入手済みの3種類すべてを、「W32.Antinny.K」（かつてのキンタマウイルスの亜種）として検知している。シマンテックのウイルスデータベースとは挙動が異なるので、後日データベースの修正または名称の変更が行われるだろう。

　トレンドマイクロ側だが、連休中の間は3月18日付けのパターンファイルに修正はなく、仁義なきキンタマのうち一種類のみ（CRC32：4B9ECA0B）を検知する。

　また欄検眼段は、3月22日早朝の時点では、シマンテック／トレンドマイクロともに未対応だ。国内製品中では、NOD32がアドバンスドヒューリスティックで「未知のウイルス」として検知している。

3月25日夜再追記　今回筆者が確認した欄検眼段本体と仁義なきキンタマ（亜種を含め3種類）に関しては、トレンドマイクロ、シマンテックともにパターン対応が完了した。

　トレンドマイクロはパターン2.512.00にて欄検眼段本体を「TROJ_ANTINNY.C」として、また仁義なきキンタマを「TROJ_UPBIT.A」「WORM_ANTINNY.AB」「同AD」として検知するようになった。

　一方シマンテックは、手動ダウンロードするIntelligent Updater 3月24日版（日本時間で25日未明公開）のパターン以降、欄検眼段本体と仁義なきキンタマをすべて「W32.Antinny.K」として検知するようになった。ただし自動更新であるLive Updateでは、緊急性を要するものではないため未対応（前回の自動更新は23日に実施されている）。

　このため多くのユーザーの環境では、欄検眼段本体は検知されない。しかし本文でも記したように、欄検眼段はフォルダの有無で感染が容易に分かるほか、仁義なきキンタマに関してはLive Updateの状態で検知できるため、手動ダウンロードの必要は薄いだろう。