ニュース

「山田オルタネイティブ」の動作を知る (1/2)

Antinnyと同時にメディアで名前が取り上げられるようになった「山田オルタネイティブ」（仮称）は非常に悪質なマルウェアだ。その動作と注意点を紹介しよう。

　たびたび報じられている通り、Antinnyによる情報流出事件は後を絶たない。

　普通に考えれば、わざわざマルウェアを実行して感染し、Winnyやネットワーク上に情報を流出させようなどと考える人はいないだろう。正体の怪しいファイルを実行しなければ感染は防げるのだが、ファイル名をごまかしたりして人の弱点を突いてくるのが、「仁義なきキンタマ」こと「Antinny」をはじめとするマルウェアの嫌なところだ。

　この記事では、Antinnyと同時にメディアで名前が取り上げられるようになったもう1つのマルウェア「山田オルタネイティブ」（仮称）（注）の挙動について説明したい。

　もともと「山田ウイルス」と称するマルウェア（正確にはトロイの木馬）が登場したのは2005年春のこと。感染するとhostsファイルを書き換えるほか、一定時間ごとにPCのスクリーンショットを取得する。さらに、自身をWebサーバとして動作させ、スクリーンショットを含むHDDの内容をインターネットに公開するとともに、アクセスのためのアドレスを「2ちゃんねる」などのインターネット上の掲示板に書き込む。

　2006年に入って話題になっている山田オルタネイティブは、この山田ウイルスの発展版的な存在だ。作者が同一人物によるものかどうかは不明だが、ひとたび感染してしまうと悲惨な状況に陥るのは変わらない。HDDの中味をインターネット上に完全公開することから、その悲惨さはむしろ、オリジナルの山田ウイルス以上である。以下、その動作を簡単に紹介したい。

その1：2ちゃんねるに「宇宙語」を残す

　山田オルタネイティブに感染すると、被害者のマシンから2ちゃんねるの掲示板の1つである「厨房板」に、足跡として下記のような「宇宙語」が書き込まれる。このような状態で被害者のIPアドレスが掲示板にさらされてしまうのだ。

000 名前：名無しさん ：2006/03/29(水) 05:50:25 ID:gxaxMxGx
ＵろｏろょぽレみもめぽおょよォギズカサザカジデテｗごばパぢグつとべぼゼざせＲηｖξξｏ

000 名前：名無しさん ：2006/03/29(水) 05:54:56 ID:xxVx0xIx
ｒＰぼウゆｌｌｑｎｑｐｋｆｄｙイｙすずさウぅえォｂｃどラをなｄｅＶａＵ

　山田オルタネイティブが被害者の名称とIPアドレスをエンコードしているため、そのままでは文字列をまともに読むことはできない。ただし、この宇宙語を解析するツールも出ており、解読は可能だ（ただし、上の例は一部改変してあるため変換できない）。

　オリジナルの山田ウイルスも同様に、感染すると2ちゃんねる上に被害者の足跡を残していたが、書き込みは特定の文字列に限られていた。このため掲示板側で対策が取りやすく、実際に書き込みを阻害する対策も行われたが、山田オルタネイティブはこうした対策をかいくぐるよう改悪されたようだ。

その2：PCをWebサーバ化して世界中から閲覧可能に

　山田ウイルスおよび山田オルタネイティブは、感染すると被害者のPCをWebサーバにしてしまう。

　山田オルタネイティブには、最初期型といわれる「mell-1-0.11」型、ファイル検索機能を持つ「mell-1-0.12」型（さらに複数の亜種あり）など、幾つかの亜種が発見されている。

　mell-1-0.11型の場合、スタートページが設定されていないWebサーバの場合と同様に、スタートのディレクトリが表示される。ここではipconfigとnetstatの結果が表示されている。またその上に、幾つかのリンクが張られている。

　この例では、「C:」「D:」「L:」「M:」が、PCの各ドライブへのリンクだ。C:、D:はそれぞれアクセスが可能で、表示されたファイルのリンクをクリックすれば、それらもダウンロードできてしまう状態だ。

　その横にあるのはスクリーンショット閲覧用のリンクで、SS（Low）／SS（High）で圧縮比の異なるスクリーンショットが表示される。

その3：「被害者同盟」を作ってしまうリンク機能

　一番右にある「LINK」の項目は、同じく山田オルタネイティブに感染したマシンへのリンクだ。つまり、感染PCを1台発見すれば、そこから数珠繋ぎに他の被害者マシンへアクセスしていくことも可能となる。

UPnP機能は一部の亜種のみか？

　ただし、2ちゃんねるに書き込まれた足跡やリンクをたどれば、すべての被害者のPCにアクセス可能というわけではなく、幸いなことにアクセスできない場合の方が多い。被害者がパーソナルファイアウォールを適切に利用していれば、このような外部からのアクセスはブロックされる。また、UPnP機能を備えているのは山田オルタネイティブのうち限られた亜種のみで、しかもプログラムにバグがある可能性がある。

　次々に登場する亜種への対応を考えると、ウイルス対策ソフトで100％完全に対処できるわけではない。しかしある程度とはいえ、マルウェアに感染しているかどうかの判断は可能だ。また、タスクマネージャを起動し、「sys.exe」や「update.exe」といったプロセスが動作していないかどうかを確認するという手段もある。

　また、早期に感染を把握するために、少なくとも月に1度はCドライブの完全スキャンを行うほか、「急にPCの動作が重くなった」「PCを使用していない割にはネットワーク転送が多い」といった自覚症状がないか、確認する必要があるだろう。

　万一手元のPCが山田オルタネイティブに感染していることが判明した場合は、ウイルス対策ソフトを最新の状態にして駆除を行う。また仮に感染したとしても、情報をインターネットに公開してしまうという最悪のケースを避ける意味で、パーソナルファイアウォール機能も重要だ。さらに、ファイルは不用意に実行しない、インターネットやWinny経由で入手したファイルはまず拡張子を確認するといった基本にも改めて注意を払うべきだ。

掲示板を攻撃する新たなマルウェア

　Antinnyや山田オルタネイティブのように情報を流出／公開させるマルウェアに比べると実害は少ないかもしれないが、3月下旬から、また別の形のマルウェアが登場している。これは主にWinnyなどのP2P型ファイル共有ネットワークでで流通しているようだが、マルウェアが偽装している形態やファイルサイズを考えると、ファイルアップローダーやメール添付で広まってもおかしくない。

[小林哲雄，ITmedia]

Copyright© 2010 ITmedia, Inc. All Rights Reserved.