News 2001年8月1日 11:59 PM 更新

史上最悪のSirCam,その被害を防ぐには――シマンテックがSirCam対策セミナー(2)

 アドレス帳だけでなく,キャッシュホルダのHTMLファイルなど,ファイル内に含まれるメールアドレス(アットマークやドットを含む文字列)にもウィルスメールを送りつけるのがやっかいだ。

 たまたま見たホームページにメールアドレスが掲載されていて,そのHTMLファイルがキャッシュに残っていた場合,見知らぬユーザー宛てにCirCamウィルス付きのメールが届けられる。これによってアドレス帳に載っていない,つまり感染者が知らないユーザーにも感染を広げているのだ。

 「昨年猛威を振るった“I LOVE YOU”も,アドレス帳だけだったことを考えると,SirCamはより広範囲に感染する可能性が高いワームといえる」(星澤氏)。

 感染を広げていくだけのワームは多いが,SirCamは珍しいことに「ファイル削除」という悪質な発病処理を行う。これは,Cドライブの全てのファイルとディレクトリを削除するというもの。発病のタイミングは,10月16日に20分の1の確率で発生する。これに,日付のフォーマットが「Day/Month/Year」の形式であるという条件が加わる。

 欧米では一般的なこの日付形式も,日本では馴染みが薄い。そのため,発病の確率も欧米より低くなると予測される。ただし,「“FS2”という文字列を含むファイルが添付された場合,無条件でその場ですぐ発病するため,やはり注意が必要」と,星澤氏は警鐘を鳴らす。

 さらにSirCamは,CドライブのRecycledフォルダにSirCam.sysを生成し,そこに大量のテキストファイルを書き込むことでCドライブの全ての未使用領域を使い果たしてしまう。これによってスワップが発生し「パフォーマンスの低下」を引き起こすのだ。

 発症タイミングは,毎回起動時の50分の1の確率,もしくはワームが8000回実行された場合となる。8000回というカウントのチェックは,ワームがレジストリにカウンタを設けて行う。

 「8000回というのは非常に多いと思われるだろうが,感染するとワーム以外のEXEファイルを立ち上げても1回カウントされてしまうので,1日にさまざまなアプリケーションを立ち上げるPCの環境では,決して多い数字ではない」(星澤氏)。

 そして1番厄介といえるのが,「個人情報の漏洩」だろう。SirCamは,ワーム本体に送信者のPCからランダムに選択したドキュメントを添付する。

 星澤氏は「SirCamに汚染された“見積書.xls.lnk”という添付ファイルをダブルクリックすると,ワームプログラムが実行されるのだが,その後すぐにExcelがちゃんと立ち上がるようになっている」と,SirCamウィルスの巧妙な手口を紹介。ユーザーはExcelが立ち上がって普通に処理されるため,通常のファイルと錯覚してしまうという。

 最後に星澤氏は,SirCam防御策として,見知らぬ相手はもちろんのこと,知り合いから届いたメールでも添付ファイルには厳重に注意する点や,メール本文のテキストで足りる内容を添付ファイルにしない点などを挙げた。

 「ウィルス対策は子供のシツケと同じ。見知らぬ人からもらったモノを食べたり,道端に落ちているモノを拾って食べたら叱られる。最近の添付ファイルは非常に巧妙になっているので,十分気をつけて欲しい」(同氏)。

関連記事
▼ 「SirCam」対策で緊急セミナー シマンテック
▼ SirCamウイルス,ヤマは越えたが「引き続き警戒を」
▼ SirCamがI Love Youに負けている理由
▼ バレたらマズいんじゃない?──SirCamは何でも暴露する(国内編)
▼ FBI文書だって例外ではない――SirCamは何でも暴露する
▼ 履歴書,ラブレター,クレジットカード番号――SirCamは何でも暴露する

関連リンク
▼ シマンテック

前のページ1 2次のページ

[西坂真人, ITmedia]