ニュース
2005/04/15 17:28 更新

新種のマルウェアが登場、2ちゃんねるを荒らす (1/2)

インターネット上のアップローダに新しいマルウェアが登場した。感染するとレジストリが改ざんされ、hostsファイルが書き換えられる。

　以前「苺キンタマ」というマルウェアが登場したことがあったのをご存じだろうか？

　このマルウェアの概略を紹介すると、「苺あぷろだ」（通称）というファイルアップローダに置かれた正体不明のファイルが本体で、これをダブルクリックするとトロイの木馬が起動し、2ちゃんねるあぷろだに被害者のPCのスクリーンショットをアップロードする。

　このマルウェアは「正体不明のファイルをダブルクリックするな」という（当たり前の）教訓を残したのだが、これはあまり生かされなかったようだ。4月10日、同じアップローダに新たなるマルウェアが登場し、少なからぬ人がこれをダブルクリックした。今度のマルウェアは、「山田ウイルス」（仮称）と呼ばれているようだ。

帰ってきた苺キンタマ

　このマルウェアの正体解明は完了されておらず、4月12日の時点では主なアンチウイルスソフトでも検知されなかった。ただし、これが本体と思われる検体は見つかっているので近日中には対応されるだろう（注：4月14日、トレンドマイクロが「Mellpon.A」としてオリジナルの検出に対応した。またシマンテックも一般名称の「Backdoor.Trojan」として検出を開始している。ただし、同時に亜種も増えているため、過信は禁物だ）。

　マルウェアの本体は、ファイル名にスペースを含め、アイコンを変更することによりフォルダに偽装している（関連記事）。中には複数のリソースが含まれているが、多くはファイルの擬装用と思しき画像データだ。それとは別に実行ファイルのリソース（PE形式実行ファイル）が含まれており、これが悪さをする。

　もしこれを実行してしまうと、後に説明するようにマシンのレジストリやhostsファイルを書き換えるほか、巨大掲示板「2ちゃんねる」の多くの板（どの板に書き込むかは候補の中からランダムに決まる模様）に、以下のような書き込みを行うようだ。トレンドマイクロなどの情報によると、このマルウェアと書き込みの間に直接の関連はない可能性もあるが、時期的にはほぼ一致する。

　前者では感染マシンのIPアドレス（この場合はプライベートIP）とマシン名をベースとしたハイパーリンク（2ちゃんねるの場合、URLを書くと自動的にハイパーリンク化される）が、また後者では「fusianasan」と呼ばれる方法で送信FQDNが名前欄に記入される（この場合は「ipnumber.hogehoge.ne.jp」）。

　2ちゃんねるを観察するとこのように2種類の書き込みが散見されるが、現在対応されている検体は前者のみ。後者は亜種と考えられている（検体を提供済みで、対応待ちの状態だ）。だがその後、2ちゃんねるの書き込みパターンはさらに増えており、亜種が増えていることを示唆している。

挙動はさまざま

　マルウェア本体は先に述べたとおり、インターネット上のアップローダに掲載された。アイコンは一見するとただのフォルダに見えるが、プログラム名の後ろに長いスペースを付け、偽装を行っている。ファイルサイズが大きいのは、画像フォルダを装うために多数の画像リソースを内包しているためで、その他に実行形式のリソースが含まれている。特に亜種のサイズは数十MBに及ぶもので、検体提出を難しくしている。

　フォルダだと思い込んでこれを実行すると、プログラムをHDD内にインストールし、さらにレジストリを書き換えて起動時に自動実行するようだ。偽装ファイルはWindowsのシステムファイルと同じ「SVCHOST.EXE」という名前なので、タスクマネージャからは判定が難しい。

　この偽svchostの中を見る限り、書き込み対象となる2ちゃんねるの板は多数あり、そのうち一番上にあるスレッドに書き込むようだ。ただ、書き込みに関しては2ちゃんねる側で対策が取られているため、掲示板がこの書き込みで溢れることはなくなっている。

　もう1つ注意したいのは、最近のマルウェアに多く見られる傾向だが、hostsファイルが書き換えられてしまうことだ。

　　　　　 | 1 2 | 次のページ

[小林哲雄，ITmedia]

Copyright© 2010 ITmedia, Inc. All Rights Reserved.