ニュース
2005/05/20 11:54 更新
亜種も登場、まだまだ2ちゃんねるを荒らし続ける「山田ウイルス」のその後 (1/3)
4月半ばに登場した通称「山田ウイルス」の被害は減ったものの、いまだに一定数のPCが感染している。さらなる亜種も登場している。
先日掲載された、通称「山田ウイルス」に関する記事は、このマルウェアに対する注意を引き起こす効果はあったようだが、まだ事態は収束していないようだ。
あれからほぼ一カ月が経過した現在もなお、このウイルスが2ちゃんねるの多数の板を荒らしている状況は変わらない。前回よりも具体的なデータ数を加えて、再度警鐘を鳴らしたい。
いまだ減らない感染PC
まず、今までの流れを簡単に説明しておこう。
通称「山田ウイルス」は、トロイの木馬に分類されるマルウェアだ。オリジナルと見られるファイルは、5月10日にとあるアップローダに掲載された。これについては、トレンドマイクロの詳細情報ページが詳しい。なおシマンテックはこれを一般的な「Backdoor.Trojan」に分類しており、詳細データはない。
本体は「見かけをフォルダアイコンに偽装した実行ファイル」だ。フォルダに見せかけることで、ファイルサイズが大きくてもユーザーが疑いを持ちにくいようにしていた。ただし、オリジナルが登場したアップローダの最大容量は5MBまでとなっていたためか、オリジナルのファイルサイズは4MB強と比較的小さい。
筆者は実際に試してはいないが、このマルウェアが実行されると、以下の行動を取ると言われている。
1. マルウェア本体(svchost.exe)をHDD上に展開2. レジストリを書き換えて上記を起動時に実行
3. hostsファイルの書き換え(ホスト名リストは末尾に掲載)
4. 一定時間ごとにスクリーンショットを取得
5. 2チャンネルの特定のスレッドに不定期(?)に書き込み(後述)
6. 自らをWebサーバとしてスクリーンショットを含むHDDの内容を公開
7. 亜種により症状が増える(後述)
まず「3」のhostsファイルの書き換えによって、DNSの名前解決が変更されてしまう。本来ならばアンチウイルスベンダーやWindows Updateにつながるホスト名の解決が変更され、ユーザーが意図しないうちにまったく別のホストに誘導されてしまう。オリジナルでは民主党のWebサイト(210.253.211.2)へ、また亜種は社民党サイト(164.46.159.101)へと誘導するようだ。結果として、Windowsのパッチ適用やウイルス対策ソフトの更新を妨げ、セキュリティを低下させるものだ。
また「4」と「6」はペアになった行動で、自らスクリーンショットを取り、Webサーバを立てて公開する。そして、自分自身を示すURLを2ちゃんねるに書き込むのだが、残念ながら多くの場合、ユーザーはサーバの公開に気づかない。ただし、プライベートアドレスが指し示されるなどして、幸いにして公開が失敗する例も多い。
2ちゃんねるの多くの板(カテゴリ)への書き込みは、オリジナルタイプでは21のサーバに分散している125の板の中からランダムに行うようだ(中には書き込みができない板も指定されていた)。書き込み内容は以下のようなものだった。
999 :[名無し]さん(bin+cue).rar:2005/04/12(火) 21:40:00 ID:hogeHOGE0
ええけつしとるのぉ(*´Д`)ハァハァ
http://192.168.0.1/
http://192.168.0.1/~ss.jpg
http://OEMCOMPUTER/
http://OEMCOMPUTER/~ss.jpg
こうした書き込みは現在も続いているものの、2ちゃんねる側ではオリジナルも含んだ一連のマルウェアによる書き込みを阻止しており、見かけ上は収拾している。だが、実際には、毎日600程度のIPアドレスから行われる約5万の書き込みをフィルタで阻止しているだけで、見かけこそ減ったものの、活動中のマシンはまだ多いようだ。
2ちゃんねるのフィルタのログを筆者がまとめてみたところ、以下のようになった。
| 日時 | 書き込み元IPアドレス数 | 書き込み数 |
| 05/06 | 500 | 48700 |
| 05/07 | 610 | 56100 |
| 05/08 | 530 | 55700 |
| 05/09 | 510 | 47000 |
| 05/10 | 500 | 49200 |
| 05/11 | 500 | 52400 |
| 05/12 | 520 | 49100 |
| 05/13 | 510 | 52700 |
| 05/14 | 550 | 55900 |
| 05/15 | 590 | 57300 |
| 05/16 | 490 | 48800 |
| 05/17 | 480 | 44100 |
ゴールデンウィークの終了とともに書き込みは減っているものの、相変わらず500以上のIPから書き込みが行われていることが分かる。これは、多くのユーザーが感染に気づかずにアクセスしていることを意味する。
トレンドマイクロの情報によれば、TROJ_MELLPON.Aは「危険度:僅少、感染報告:低」となっているが、亜種も含め、現在なおそれなりの数のマシンが感染していることが分かる。
アンチウイルスソフトでは不十分
少なくない数のPCが山田ウイルスに感染したままになっている理由として、このマルウェアおよびその亜種は、「アンチウイルスソフトでは完全には検出できない」という点が挙げられる。
[小林哲雄,ITmedia]
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
トップエンジニア村上氏と上野氏が競演!
「Windows 7搭載PC」で何が変わったのか?
@IT「Windows 7」 特設サイトオープン!
IT基盤をアウトソースした中堅中小企業たち![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
1日の処理を1秒にも――MySQLの達人が語る
「どこでもオフィス」で業務効率アップ!
「ノートPCの持ち出し禁止」だけで大丈夫?
技術者不在でも「すぐに使える」
「設備」「ネットワーク」「マネジメント」
業務でオープンソースは不安、は過去のこと
『情報システム部門』のあるべき姿は?
MONOist執筆陣×PTC対談企画 好評の第2弾
IBM スマートなモノづくり PLMフォーラム
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター