“遺物的”フロッピーワームが採用した新たな手口温故知新?

Heikuは機能的にはありふれたワームだが、少し変わっている点があった。

» 2007年12月13日 09時27分 公開
[ITmedia]

 セキュリティ企業のMcAfeeは12月12日のブログで、フロッピーディスクで感染するワームを最近発見したと伝えた。

 このワーム「W32/Heiku」はVisual Basicで書かれ、動作や機能はありふれたワームだという。感染するとファイルやディレクトリを削除し、Internet Explorer(IE)のスタートページを変えて、お気に入りにポルノサイトを追加してしまう。

 変わっているのは、フロッピーディスクドライブに自らのコピーを作成しようとする点だ。Heikuは、ウイルスが単純な破壊目的で作成されていた過去の時代の遺物に違いないとブログ筆者は分析。Windows 2000以降では使われなくなったDOSコマンドの「deltree」を利用していることからも、古さがうかがえるとしている。

 ただ、当時でもフロッピーからウイルスを自動的に実行させるのは難しいという問題があった。Heikuはこの問題を解決するため、Windowsのアクティブデスクトップを利用しており、これは筆者が見たことのない手口だったという。

 アクティブデスクトップでは、Windows Explorerでフォルダのコンテンツを表示する方法をユーザーがカスタマイズできる。Heikuはこれを使い、感染したフロッピーのコンテンツをユーザーがWindows Explorerで参照すると、ワームが自動で実行される仕組みになっていた。

 ボットが氾濫(はんらん)する時代にあって、たとえそれが過去の遺物であっても、ほかとは異なった目新しいものを見つけるのは興味深いと筆者はつづっている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ