亜種も登場、まだまだ2ちゃんねるを荒らし続ける「山田ウイルス」のその後（2/3 ページ）

4月半ばに登場した通称「山田ウイルス」の被害は減ったものの、いまだに一定数のPCが感染している。さらなる亜種も登場している。

[小林哲雄，ITmedia]

　以前の記事でも言及したが、山田ウイルスは再感染能力を持たず、感染元となるトロイの木馬本体のファイルは見つけにくい。また、過去に見つかっている亜種のうち1つのファイルサイズは巨大で、通常のアンチウイルスソフトベンダーへの検体提供手段では送付が困難だ（ちなみにこれまでの検体は、有志の手によってアンチウイルスベンダーにCD-Rで提供された。また筆者もできる範囲で収集した検体を提供している）。

　つまり、アンチウイルスソフトベンダーが十分な検体入手が行えず、結果としてパターンファイルの提供もされず、ユーザー側で検出できないという状態になっている。また、少なくとも既存の山田ウイルスは、いったん感染するとアンチウイルスソフトのアップデートを妨げるため、後日スキャンしたとしてもあまり意味をなさない。

　2ちゃんねるサイドでも万全な対応を行えない状況のようだ。もともと2ちゃんねるでは、特定メッセージを大量に投稿する「コピペあらし」がしばしば発生しており、こうした行為への対応は比較的迅速だった。したがって前述のとおり、山田ウイルスによる書き込みの阻止はフィルタによって比較的容易に行えていた。

　だが最新亜種では、投稿の内容をランダム化することで「対策」への「対応」を行っているようだ。その結果、最近では山田ウイルス亜種による2ちゃんねるへの投稿が再び目立つようになった（ちなみに先の表は、フィルタリングされたオリジナルによる書き込み数を元にしたものであり、亜種によるランダム投稿は含まない）。

　ランダム文字列を用いた書き込みは、以下のような感じになる。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　このように、亜種は「ｗｗｗ」「うぇ」「おｋ」や「ぷぷぷ」といった意味のない文字列をランダムに組み合わせて書き込むようになっており、2ちゃんねるが用意した投稿フィルタをすり抜けているようだ。なお、ここで挙げた書き込みでは、IPを元に生成された「ID」がすべて異なっているが、これは、各投稿がそれぞれ別のIPアドレスから行われていることを意味する。

　トレンドマイクロは5月18日現在、「TROJ_MELLPON.A-N」のパターンを提供している（パターンファイル「2.631.00」にてTROJ_MELLPON.H/I/J/L/Nに対応）。TROJ_MELLPON.Aは「危険度：僅少／ダメージ度：小」という評価だったが、TROJ_MELLPON.B／D／E／Fでは「ダメージ度：中」、TROJ_MELLPON.Lでは「ダメージ度：高」という評価になっている。

　2ちゃんねるサイドも先のランダム亜種が行う書き込みに対するフィルタを強化したようで、上記のような「よくわからない投稿」を目にするケースは明らかに減っている。

　だが、それは対処療法にすぎない。かつてMS Blast（Blaster）やCode Redといったウイルスが猛威を振るった後、多くのマシンで対処がなされた。それでもなおこれらのワームが吐き出す攻撃パケットは、インターネット上のトラフィックとして少なからず残ったし、現在も継続している。山田ウイルスの場合も同じように脅威が継続していると言えるだろう。

怪しいファイルやフォルダは実行しない

　手元のPCが山田ウイルスに感染しているかどうかを確認する方法はいくつかある。

　まずWebブラウザで「http://127.0.0.1/」、つまり自分自身にアクセスし、反応があるかどうかを確認するという手段が一般的だ。大抵のマシン、特に自宅で利用しているPCの場合、httpサーバを実行しているケースは少ないため、上記のアドレスにアクセスしてもエラーになるはずだ（IEの場合は「ページが見つかりません」と表示される）。