進化するウイルス――今度はパケットフィルタリングで対策を妨害

ウイルス対策ソフトベンダーやOSベンダーのWebサイトへのアクセスをブロックするようパケットフィルタリング機能を変更させる「Fantibag.B」が出現した。

[ITmedia]

　F-Secureは7月1日、ウイルス対策ソフトベンダーやOSベンダーのWebサイトへのアクセスをブロックするようパケットフィルタリング機能を変更させるウイルス、「Fantibag.B」が出現したとして、注意を呼びかけた。

　Fantibag.Bはトロイの木馬型のウイルス。いったん感染すると「firewall_anti.exe」という名前で自分自身をコピーし、レジストリを改ざんするほか、パケットフィルタリングAPIを変更してウイルス対策ソフトベンダーやOSベンダーへのアクセスをブロックし、パッチやウイルス定義ファイルのアップデートを妨げようとする。ブロックされるドメイン名には「windowsupdate.microsoft.com」のほか「www.f-secure.com」「www.mcafee.com」「www.symantec.com」「www.trendmicro.com」など主要なウイルス対策ソフトベンダーの名称が含まれている。

　Mytobをはじめ、これまで登場してきたウイルスの中にも、定義ファイルの更新を妨げる動作をとるものは多いが、その多くはhostsファイルの改ざん（ファーミング）という手口によるもの。パケットフィルタリングのポリシーを変更してアクセスを妨げるケースは珍しい。

　これを踏まえてSANS Internet Storm Centerでは、パケットフィルタリング搭載ウイルスは、hostsファイルを改ざんするという方法に比べ、検出およびトラブルシューティングが困難であると指摘。定義ファイルのアップデートに失敗した際には何らかの警告を表示するなどの手立てが必要になるかもしれないとしている。