プリント用表示 | ブログに書く by kwout |

ニュース
2005/05/20 11:54 更新


亜種も登場、まだまだ2ちゃんねるを荒らし続ける「山田ウイルス」のその後 (1/3)

4月半ばに登場した通称「山田ウイルス」の被害は減ったものの、いまだに一定数のPCが感染している。さらなる亜種も登場している。

 先日掲載された、通称「山田ウイルス」に関する記事は、このマルウェアに対する注意を引き起こす効果はあったようだが、まだ事態は収束していないようだ。

 あれからほぼ一カ月が経過した現在もなお、このウイルスが2ちゃんねるの多数の板を荒らしている状況は変わらない。前回よりも具体的なデータ数を加えて、再度警鐘を鳴らしたい。

いまだ減らない感染PC

 まず、今までの流れを簡単に説明しておこう。

 通称「山田ウイルス」は、トロイの木馬に分類されるマルウェアだ。オリジナルと見られるファイルは、5月10日にとあるアップローダに掲載された。これについては、トレンドマイクロの詳細情報ページが詳しい。なおシマンテックはこれを一般的な「Backdoor.Trojan」に分類しており、詳細データはない。

 本体は「見かけをフォルダアイコンに偽装した実行ファイル」だ。フォルダに見せかけることで、ファイルサイズが大きくてもユーザーが疑いを持ちにくいようにしていた。ただし、オリジナルが登場したアップローダの最大容量は5MBまでとなっていたためか、オリジナルのファイルサイズは4MB強と比較的小さい。

 筆者は実際に試してはいないが、このマルウェアが実行されると、以下の行動を取ると言われている。

1. マルウェア本体(svchost.exe)をHDD上に展開
2. レジストリを書き換えて上記を起動時に実行
3. hostsファイルの書き換え(ホスト名リストは末尾に掲載)
4. 一定時間ごとにスクリーンショットを取得
5. 2チャンネルの特定のスレッドに不定期(?)に書き込み(後述)
6. 自らをWebサーバとしてスクリーンショットを含むHDDの内容を公開
7. 亜種により症状が増える(後述)

 まず「3」のhostsファイルの書き換えによって、DNSの名前解決が変更されてしまう。本来ならばアンチウイルスベンダーやWindows Updateにつながるホスト名の解決が変更され、ユーザーが意図しないうちにまったく別のホストに誘導されてしまう。オリジナルでは民主党のWebサイト(210.253.211.2)へ、また亜種は社民党サイト(164.46.159.101)へと誘導するようだ。結果として、Windowsのパッチ適用やウイルス対策ソフトの更新を妨げ、セキュリティを低下させるものだ。

 また「4」と「6」はペアになった行動で、自らスクリーンショットを取り、Webサーバを立てて公開する。そして、自分自身を示すURLを2ちゃんねるに書き込むのだが、残念ながら多くの場合、ユーザーはサーバの公開に気づかない。ただし、プライベートアドレスが指し示されるなどして、幸いにして公開が失敗する例も多い。

 2ちゃんねるの多くの板(カテゴリ)への書き込みは、オリジナルタイプでは21のサーバに分散している125の板の中からランダムに行うようだ(中には書き込みができない板も指定されていた)。書き込み内容は以下のようなものだった。

999 :[名無し]さん(bin+cue).rar:2005/04/12(火) 21:40:00 ID:hogeHOGE0
ええけつしとるのぉ(*´Д`)ハァハァ
http://192.168.0.1/
http://192.168.0.1/~ss.jpg
http://OEMCOMPUTER/
http://OEMCOMPUTER/~ss.jpg

 こうした書き込みは現在も続いているものの、2ちゃんねる側ではオリジナルも含んだ一連のマルウェアによる書き込みを阻止しており、見かけ上は収拾している。だが、実際には、毎日600程度のIPアドレスから行われる約5万の書き込みをフィルタで阻止しているだけで、見かけこそ減ったものの、活動中のマシンはまだ多いようだ。

 2ちゃんねるのフィルタのログを筆者がまとめてみたところ、以下のようになった。

日時書き込み元IPアドレス数書き込み数
05/0650048700
05/0761056100
05/0853055700
05/0951047000
05/1050049200
05/1150052400
05/1252049100
05/1351052700
05/1455055900
05/1559057300
05/1649048800
05/1748044100
筆者まとめによる最近のデータ概略(丸め値)

 ゴールデンウィークの終了とともに書き込みは減っているものの、相変わらず500以上のIPから書き込みが行われていることが分かる。これは、多くのユーザーが感染に気づかずにアクセスしていることを意味する。

 トレンドマイクロの情報によれば、TROJ_MELLPON.Aは「危険度:僅少、感染報告:低」となっているが、亜種も含め、現在なおそれなりの数のマシンが感染していることが分かる。

アンチウイルスソフトでは不十分

 少なくない数のPCが山田ウイルスに感染したままになっている理由として、このマルウェアおよびその亜種は、「アンチウイルスソフトでは完全には検出できない」という点が挙げられる。

      | 1 2 3 | 次のページ

[小林哲雄,ITmedia]

Copyright© 2010 ITmedia, Inc. All Rights Reserved.




PR
PR

キャリアアップ



オンライン・ムックPlus

エンタープライズ・ピックアップ

news001.jpg 世界で勝つ 強い日本企業のつくり方:国産ICTは極めてハイレベルだ
2010年は国内企業の海外展開が一層進むとみられる。海外進出の基盤となるのがICTだ。MM総研の中島洋代表取締役所長は、国産ICTのレベルの高さは世界でも類を見ないものであり、海外戦略においても通用すると力を込める。

news002.jpg 世界で勝つ 強い日本企業のつくり方:グローバルクラウドに潜む法的課題
テクノロジーの進化がクラウドを普及させた。それに伴い、世界規模で越境する情報をどう管理するか、集積した情報を誰がどう利用するかといった論点が浮上している。クラウド型サービスの活用で課題となる法的・政策的課題を考える。

news014.jpg ドジっ娘リーダー奮闘記:守ってあげたい!
上層部の勘違いや思い込みからメンバーを守るのは、リーダーの大切な役割です。では、どうやったらリーダーはメンバーを上手に守れるのでしょう。

news005.jpg 不正事件に学ぶ社内セキュリティの強化策:LAN上のメールをすべて収集していた社員
情報セキュリティの専門家 萩原栄幸氏が企業や組織における情報セキュリティリスクを解説する連載です。今回は周囲には明かせない密かな関係から発展してしまった、ある内部不正の出来事を紹介しましょう。

news009.jpg 賢者の意志決定:誰も教えてくれないiPhoneの秘密とiPhoneアプリ販売の現実
今日、iPhoneが巨大なエコシステムを構築していることに異論がある方は少ないでしょう。iPhoneがここまで急速に成長した背景、そして、エコシステムの知られざる現実、さらにAndroidとの最終戦争の行方について、ユビキタスエンターテインメントの“鬼才”清水亮が解説します。


利用規約 | プライバシーポリシー | 広告案内 | サイトマップ | お問い合わせ
運営会社 | 採用情報 | IR情報

ITmediaITmedia NewsプロモバITmedia エンタープライズITmedia エグゼクティブTechTargetジャパン
+D+D LifeStyle+D PC USER+D Mobile+D ShoppingGamezOneTopi
@IT@IT情報マネジメント@IT MONOist@IT自分戦略研究所JOB@IT
Business Media 誠誠 Biz.IDEE Times環境メディアBARKSzoome