メディア

カテゴリ：

ネットの話題

コーナー：

セキュリティ

スタートアップ

SaaSの選び方

亜種も登場、まだまだ2ちゃんねるを荒らし続ける「山田ウイルス」のその後（1/3 ページ）

» 2005年05月20日 11時54分公開

[小林哲雄，ITmedia]

　先日掲載された、通称「山田ウイルス」に関する記事は、このマルウェアに対する注意を引き起こす効果はあったようだが、まだ事態は収束していないようだ。

　あれからほぼ一カ月が経過した現在もなお、このウイルスが2ちゃんねるの多数の板を荒らしている状況は変わらない。前回よりも具体的なデータ数を加えて、再度警鐘を鳴らしたい。

いまだ減らない感染PC

　まず、今までの流れを簡単に説明しておこう。

　通称「山田ウイルス」は、トロイの木馬に分類されるマルウェアだ。オリジナルと見られるファイルは、5月10日にとあるアップローダに掲載された。これについては、トレンドマイクロの詳細情報ページが詳しい。なおシマンテックはこれを一般的な「Backdoor.Trojan」に分類しており、詳細データはない。

　本体は「見かけをフォルダアイコンに偽装した実行ファイル」だ。フォルダに見せかけることで、ファイルサイズが大きくてもユーザーが疑いを持ちにくいようにしていた。ただし、オリジナルが登場したアップローダの最大容量は5MBまでとなっていたためか、オリジナルのファイルサイズは4MB強と比較的小さい。

　筆者は実際に試してはいないが、このマルウェアが実行されると、以下の行動を取ると言われている。

マルウェア本体（svchost.exe）をHDD上に展開
レジストリを書き換えて上記を起動時に実行
hostsファイルの書き換え（ホスト名リストは末尾に掲載）
一定時間ごとにスクリーンショットを取得
2チャンネルの特定のスレッドに不定期（？）に書き込み（後述）
自らをWebサーバとしてスクリーンショットを含むHDDの内容を公開
亜種により症状が増える（後述）

　まず「3」のhostsファイルの書き換えによって、DNSの名前解決が変更されてしまう。本来ならばアンチウイルスベンダーやWindows Updateにつながるホスト名の解決が変更され、ユーザーが意図しないうちにまったく別のホストに誘導されてしまう。オリジナルでは民主党のWebサイト（210.253.211.2）へ、また亜種は社民党サイト（164.46.159.101）へと誘導するようだ。結果として、Windowsのパッチ適用やウイルス対策ソフトの更新を妨げ、セキュリティを低下させるものだ。

　また「4」と「6」はペアになった行動で、自らスクリーンショットを取り、Webサーバを立てて公開する。そして、自分自身を示すURLを2ちゃんねるに書き込むのだが、残念ながら多くの場合、ユーザーはサーバの公開に気づかない。ただし、プライベートアドレスが指し示されるなどして、幸いにして公開が失敗する例も多い。

　2ちゃんねるの多くの板（カテゴリ）への書き込みは、オリジナルタイプでは21のサーバに分散している125の板の中からランダムに行うようだ（中には書き込みができない板も指定されていた）。書き込み内容は以下のようなものだった。

999 ：[名無し]さん(bin+cue).rar：2005/04/12(火) 21:40:00 ID:hogeHOGE0
ええけつしとるのぉ(*´Д`)ﾊｧﾊｧ
http://192.168.0.1/
http://192.168.0.1/~ss.jpg
http://OEMCOMPUTER/
http://OEMCOMPUTER/~ss.jpg

　こうした書き込みは現在も続いているものの、2ちゃんねる側ではオリジナルも含んだ一連のマルウェアによる書き込みを阻止しており、見かけ上は収拾している。だが、実際には、毎日600程度のIPアドレスから行われる約5万の書き込みをフィルタで阻止しているだけで、見かけこそ減ったものの、活動中のマシンはまだ多いようだ。

　2ちゃんねるのフィルタのログを筆者がまとめてみたところ、以下のようになった。


日時	書き込み元IPアドレス数	書き込み数
05/06	500	48700
05/07	610	56100
05/08	530	55700
05/09	510	47000
05/10	500	49200
05/11	500	52400
05/12	520	49100
05/13	510	52700
05/14	550	55900
05/15	590	57300
05/16	490	48800
05/17	480	44100

筆者まとめによる最近のデータ概略（丸め値）

　ゴールデンウィークの終了とともに書き込みは減っているものの、相変わらず500以上のIPから書き込みが行われていることが分かる。これは、多くのユーザーが感染に気づかずにアクセスしていることを意味する。

　トレンドマイクロの情報によれば、TROJ_MELLPON.Aは「危険度：僅少、感染報告：低」となっているが、亜種も含め、現在なおそれなりの数のマシンが感染していることが分かる。

アンチウイルスソフトでは不十分

　少なくない数のPCが山田ウイルスに感染したままになっている理由として、このマルウェアおよびその亜種は、「アンチウイルスソフトでは完全には検出できない」という点が挙げられる。

　　　　　　 1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

Special

PR

業務部門が抱える課題をITで解決（キーマンズネット）

SaaS最新情報 by ITセレクト

勤怠管理アプリおすすめ14選（無料版あり）スマホ活用で効率化する方法のメリットと注意点

【ビジネス向け】AIツールおすすめ32選　種類別AIツールの選び方とポイントをチェック

5000円分のギフトカードプレゼント！ ITセレクトSaaS/IT導入支援キャンペーン実施中

RANKING

1

渦中の「アサクリシャドウズ」をプレイしたマンガ家が“トンデモ日本”にニヤリとしながら無念に感じたこと

2

芸大留学生7割が中国人、10年で11倍の大学も　ゲーム系就職が「永住権の近道」認識か

3

金属の質感がたまらない「SIGMA BF」、いろいろ省いてるけどカメラとしての使い勝手は？

4

そろそろ、忖度抜きで「iPhone 16e」の話をしよう

5

SBI証券、不正アクセスで顧客口座から約1億円流出　偽口座に送金

もっと読む »

メールマガジンのお知らせ

ITmedia NEWSメールマガジン最新号テクノロジートレンドを週3配信

ご購読はこちら »

ITmediaはアイティメディア株式会社の登録商標です。

メディア一覧 | 公式SNS | 広告案内 | お問い合わせ | プライバシーポリシー | RSS | 運営会社 | 採用情報 | 推奨環境