ITmedia NEWS >

亜種も登場、まだまだ2ちゃんねるを荒らし続ける「山田ウイルス」のその後(2/3 ページ)

» 2005年05月20日 11時54分 公開
[小林哲雄,ITmedia]

 以前の記事でも言及したが、山田ウイルスは再感染能力を持たず、感染元となるトロイの木馬本体のファイルは見つけにくい。また、過去に見つかっている亜種のうち1つのファイルサイズは巨大で、通常のアンチウイルスソフトベンダーへの検体提供手段では送付が困難だ(ちなみにこれまでの検体は、有志の手によってアンチウイルスベンダーにCD-Rで提供された。また筆者もできる範囲で収集した検体を提供している)。

 つまり、アンチウイルスソフトベンダーが十分な検体入手が行えず、結果としてパターンファイルの提供もされず、ユーザー側で検出できないという状態になっている。また、少なくとも既存の山田ウイルスは、いったん感染するとアンチウイルスソフトのアップデートを妨げるため、後日スキャンしたとしてもあまり意味をなさない。

 2ちゃんねるサイドでも万全な対応を行えない状況のようだ。もともと2ちゃんねるでは、特定メッセージを大量に投稿する「コピペあらし」がしばしば発生しており、こうした行為への対応は比較的迅速だった。したがって前述のとおり、山田ウイルスによる書き込みの阻止はフィルタによって比較的容易に行えていた。

 だが最新亜種では、投稿の内容をランダム化することで「対策」への「対応」を行っているようだ。その結果、最近では山田ウイルス亜種による2ちゃんねるへの投稿が再び目立つようになった(ちなみに先の表は、フィルタリングされたオリジナルによる書き込み数を元にしたものであり、亜種によるランダム投稿は含まない)。

 ランダム文字列を用いた書き込みは、以下のような感じになる。

948 名前:名無しさん 投稿日:2005/05/10(火) 09:58:48 ID:5MYXGEph0
http://hogehoge1.ne.jp/
wwwwwwっっっうぇwwwっうぇ
wwwwwwおkwww

wwwwwwwwwwwwうはっwwwっうぇ
wwwっおkwwwwwwwwwwおkwwwwwwwwwwwwwww

46 :名無しさん:2005/05/11(水) 02:09:22 ID:MxcaDgL70
http://hogehoge.ne.jp/
ぷぇぷwぷぷはぷぷwぷっうぇぷぇぷwぷみぷぷwぷw
ぷwぷぷwぷぷwぷwぷw

みぷぷwぷwおkぷぷぷ
ぷぇぷwぷぷ
おkぷぷぷぷぷぷwみぷぷwぷwぷwぷぷwぷぷwぷwぷw

 このように、亜種は「www」「うぇ」「おk」や「ぷぷぷ」といった意味のない文字列をランダムに組み合わせて書き込むようになっており、2ちゃんねるが用意した投稿フィルタをすり抜けているようだ。なお、ここで挙げた書き込みでは、IPを元に生成された「ID」がすべて異なっているが、これは、各投稿がそれぞれ別のIPアドレスから行われていることを意味する。

 トレンドマイクロは5月18日現在、「TROJ_MELLPON.A-N」のパターンを提供している(パターンファイル「2.631.00」にてTROJ_MELLPON.H/I/J/L/Nに対応)。TROJ_MELLPON.Aは「危険度:僅少/ダメージ度:小」という評価だったが、TROJ_MELLPON.BDEFでは「ダメージ度:中」、TROJ_MELLPON.Lでは「ダメージ度:高」という評価になっている。

 2ちゃんねるサイドも先のランダム亜種が行う書き込みに対するフィルタを強化したようで、上記のような「よくわからない投稿」を目にするケースは明らかに減っている。

 だが、それは対処療法にすぎない。かつてMS Blast(Blaster)やCode Redといったウイルスが猛威を振るった後、多くのマシンで対処がなされた。それでもなおこれらのワームが吐き出す攻撃パケットは、インターネット上のトラフィックとして少なからず残ったし、現在も継続している。山田ウイルスの場合も同じように脅威が継続していると言えるだろう。

怪しいファイルやフォルダは実行しない

 手元のPCが山田ウイルスに感染しているかどうかを確認する方法はいくつかある。

 まずWebブラウザで「http://127.0.0.1/」、つまり自分自身にアクセスし、反応があるかどうかを確認するという手段が一般的だ。大抵のマシン、特に自宅で利用しているPCの場合、httpサーバを実行しているケースは少ないため、上記のアドレスにアクセスしてもエラーになるはずだ(IEの場合は「ページが見つかりません」と表示される)。

Copyright © ITmedia, Inc. All Rights Reserved.