ニュース
» 2005年05月20日 11時54分 公開

亜種も登場、まだまだ2ちゃんねるを荒らし続ける「山田ウイルス」のその後 (3/3)

[小林哲雄,ITmedia]
前のページへ 1|2|3       

 より確実にチェックを行うならば、Windows 2000/XPの場合はコマンドプロンプトから「netstat -a」を実行し、httpのLISTENING表示がないか確認するのがよいだろう。もしこうした文字列があれば、Webサーバの類が動作していることになる。

 ただし、ルータやパーソナルファイアウォールを適切に使っている場合、PC上でWebサーバが起動していたとしても外部には公開されず、2ちゃんねるへ書き込みがなされるという以外の被害はない。誰かが書き込み中のURLをクリックしてアクセスを試みたとしても、PCの内容をのぞかれるという最悪の事態までは免れる、ということだ。

 また山田ウイルスへの対症療法ということになるが、アウトバンド通信の監視が可能なパーソナルファイアウォールソフト、もしくはWebフィルタリングソフトを通じて、山田ウイルスによる2ちゃんねるへの書き込みを監視するといった手法もある。

 ただ、亜種によってはパーソナルファイアウォールソフトの動作を停止させるものが存在するようだ。

 以下の方法もマルウェア全般のチェックに有効だろう。

  • アンチウイルスソフトの詳細画面を見て、パターンファイルの日付をチェックする。インターネットに接続しているのにパターンが古い場合(現在トレンドマイクロの「ウイルスバスター」は米国時間の月、水、金、シマンテックの「ノートンアンチウイルス」は木曜日に定例アップデートを行い、それ以外にも緊急リリースが行われている)は、何らかのトラブルがあるものと思われる。
  • 「C:\WINDOWS\system32\drivers\etc\hosts」(Windows XPの場合)をチェックし、怪しげなリストがないことを確認する。
  • レジストリ(HKEY_CURRENT_USER\Software\Microsoft
    \Windows\CurrentVersion\Run)に怪しげな項目がないか確認する。この項目はソフトウェアのインストールによって増えることもあるため、問題のない平常時の項目を知っておく必要がある。

 なお山田ウイルスの場合、svchost.exeの名前を偽装に用いている(亜種では別の名称である可能性もある)。上のレジストリからsvchost.exeが呼びだされる可能性は少ないため、まずsvchost.exeの位置を確認し「C:\WINDOWS\system32\svchost」以外のものを指定している場合はただちに対応する必要があるだろう。

  • スタートアップフォルダ「スタート→プログラム→スタートアップ」の中に見覚えのないショートカットやプログラムがないか確認する。このときは名称やアイコンで判断せず、プロパティを見てリンク先を確認する必要がある。

 起動時に常駐するタイプのマルウェアは、レジストリもしくはスタートアップを悪用して実行されるものが多い(関連記事)。なお、山田ウイルス亜種の中にはレジストリではなく、スタートアップを利用して起動するものも発見されている。

 一連のチェック作業は普段から習慣付けておくとよいが、何よりも大切なことは「怪しげなファイルは実行しない」ことだ。

 特に、見かけをフォルダや圧縮ファイルのように偽装するマルウェアは多い。出所の怪しいところからファイルやフォルダを入手したとしてもすぐにダブルクリックはせず、右クリックメニューから「開く」を行うよう習慣付けるのもよいだろう。プログラムの場合は「開く」の下に「別のユーザーで実行」メニューが、フォルダの場合は「エクスプローラー」メニューが表示されるため、これで違いに気づくこともできる。

 もう1つ、アンチウイルスソフトは新種のマルウェアに関して万能ではないということは、頭の片隅に入れておくことも重要だ。「完全スキャンしてもウイルスは見つからないから安全」とは言い切れない。つい先日明るみになった価格.comのWebサイトを経由して広がったウイルスのケースからも分かることだ。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -