亜種も登場、まだまだ2ちゃんねるを荒らし続ける「山田ウイルス」のその後(1/3 ページ)
先日掲載された、通称「山田ウイルス」に関する記事は、このマルウェアに対する注意を引き起こす効果はあったようだが、まだ事態は収束していないようだ。
あれからほぼ一カ月が経過した現在もなお、このウイルスが2ちゃんねるの多数の板を荒らしている状況は変わらない。前回よりも具体的なデータ数を加えて、再度警鐘を鳴らしたい。
いまだ減らない感染PC
まず、今までの流れを簡単に説明しておこう。
通称「山田ウイルス」は、トロイの木馬に分類されるマルウェアだ。オリジナルと見られるファイルは、5月10日にとあるアップローダに掲載された。これについては、トレンドマイクロの詳細情報ページが詳しい。なおシマンテックはこれを一般的な「Backdoor.Trojan」に分類しており、詳細データはない。
本体は「見かけをフォルダアイコンに偽装した実行ファイル」だ。フォルダに見せかけることで、ファイルサイズが大きくてもユーザーが疑いを持ちにくいようにしていた。ただし、オリジナルが登場したアップローダの最大容量は5MBまでとなっていたためか、オリジナルのファイルサイズは4MB強と比較的小さい。
筆者は実際に試してはいないが、このマルウェアが実行されると、以下の行動を取ると言われている。
1. マルウェア本体(svchost.exe)をHDD上に展開2. レジストリを書き換えて上記を起動時に実行
3. hostsファイルの書き換え(ホスト名リストは末尾に掲載)
4. 一定時間ごとにスクリーンショットを取得
5. 2チャンネルの特定のスレッドに不定期(?)に書き込み(後述)
6. 自らをWebサーバとしてスクリーンショットを含むHDDの内容を公開
7. 亜種により症状が増える(後述)
まず「3」のhostsファイルの書き換えによって、DNSの名前解決が変更されてしまう。本来ならばアンチウイルスベンダーやWindows Updateにつながるホスト名の解決が変更され、ユーザーが意図しないうちにまったく別のホストに誘導されてしまう。オリジナルでは民主党のWebサイト(210.253.211.2)へ、また亜種は社民党サイト(164.46.159.101)へと誘導するようだ。結果として、Windowsのパッチ適用やウイルス対策ソフトの更新を妨げ、セキュリティを低下させるものだ。
また「4」と「6」はペアになった行動で、自らスクリーンショットを取り、Webサーバを立てて公開する。そして、自分自身を示すURLを2ちゃんねるに書き込むのだが、残念ながら多くの場合、ユーザーはサーバの公開に気づかない。ただし、プライベートアドレスが指し示されるなどして、幸いにして公開が失敗する例も多い。
2ちゃんねるの多くの板(カテゴリ)への書き込みは、オリジナルタイプでは21のサーバに分散している125の板の中からランダムに行うようだ(中には書き込みができない板も指定されていた)。書き込み内容は以下のようなものだった。
999 :[名無し]さん(bin+cue).rar:2005/04/12(火) 21:40:00 ID:hogeHOGE0
ええけつしとるのぉ(*´Д`)ハァハァ
http://192.168.0.1/
http://192.168.0.1/~ss.jpg
http://OEMCOMPUTER/
http://OEMCOMPUTER/~ss.jpg
こうした書き込みは現在も続いているものの、2ちゃんねる側ではオリジナルも含んだ一連のマルウェアによる書き込みを阻止しており、見かけ上は収拾している。だが、実際には、毎日600程度のIPアドレスから行われる約5万の書き込みをフィルタで阻止しているだけで、見かけこそ減ったものの、活動中のマシンはまだ多いようだ。
2ちゃんねるのフィルタのログを筆者がまとめてみたところ、以下のようになった。
| 日時 | 書き込み元IPアドレス数 | 書き込み数 |
|---|---|---|
| 05/06 | 500 | 48700 |
| 05/07 | 610 | 56100 |
| 05/08 | 530 | 55700 |
| 05/09 | 510 | 47000 |
| 05/10 | 500 | 49200 |
| 05/11 | 500 | 52400 |
| 05/12 | 520 | 49100 |
| 05/13 | 510 | 52700 |
| 05/14 | 550 | 55900 |
| 05/15 | 590 | 57300 |
| 05/16 | 490 | 48800 |
| 05/17 | 480 | 44100 |
ゴールデンウィークの終了とともに書き込みは減っているものの、相変わらず500以上のIPから書き込みが行われていることが分かる。これは、多くのユーザーが感染に気づかずにアクセスしていることを意味する。
トレンドマイクロの情報によれば、TROJ_MELLPON.Aは「危険度:僅少、感染報告:低」となっているが、亜種も含め、現在なおそれなりの数のマシンが感染していることが分かる。
アンチウイルスソフトでは不十分
少なくない数のPCが山田ウイルスに感染したままになっている理由として、このマルウェアおよびその亜種は、「アンチウイルスソフトでは完全には検出できない」という点が挙げられる。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。