2005年05月21日(土) 11時11分

亜種も登場、まだまだ2ちゃんねるを荒らし続ける「山田ウイルス」のその後（ITmediaエンタープライズ）

　先日掲載された、通称「山田ウイルス」に関する記事は、このマルウェアに対する注意を引き起こす効果はあったようだが、まだ事態は収束していないようだ。

　あれから三週間が経過した現在もなお、このウイルスが2ちゃんねるの多数の板を荒らしている状況は変わらない。前回よりも具体的なデータ数を加えて、再度警鐘を鳴らしたい。

●いまだ減らない感染PC

　まず、今までの流れを簡単に説明しておこう。

　通称「山田ウイルス」は、トロイの木馬に分類されるマルウェアだ。オリジナルと見られるファイルは、5月10日にとあるアップローダに掲載された。これについては、トレンドマイクロの詳細情報ページが詳しい。なおシマンテックはこれを一般的な「Backdoor.Trojan」に分類しており、詳細データはない。

　本体は「見かけをフォルダアイコンに偽装した実行ファイル」だ。フォルダに見せかけることで、ファイルサイズが大きくてもユーザーが疑いを持ちにくいようにしていた。ただし、オリジナルが登場したアップローダの最大容量は5MBまでとなっていたためか、オリジナルのファイルサイズは4MB強と比較的小さい。

　筆者は実際に試してはいないが、このマルウェアが実行されると、以下の行動を取ると言われている。

　まず「3」のhostsファイルの書き換えによって、DNSの名前解決が変更されてしまう。本来ならばアンチウイルスベンダーやWindows Updateにつながるホスト名の解決が変更され、ユーザーが意図しないうちにまったく別のホストに誘導されてしまう。オリジナルでは民主党のWebサイト（210.253.211.2）へ、また亜種は社民党サイト（164.46.159.101）へと誘導するようだ。結果として、Windowsのパッチ適用やウイルス対策ソフトの更新を妨げ、セキュリティを低下させるものだ。

　また「4」と「6」はペアになった行動で、自らスクリーンショットを取り、Webサーバを立てて公開する。そして、自分自身を示すURLを2ちゃんねるに書き込むのだが、残念ながら多くの場合、ユーザーはサーバの公開に気づかない。ただし、プライベートアドレスが指し示されるなどして、幸いにして公開が失敗する例も多い。

　2ちゃんねるの多くの板（カテゴリ）への書き込みは、オリジナルタイプでは21のサーバに分散している125の板の中からランダムに行うようだ（中には書き込みができない板も指定されていた）。書き込み内容は以下のようなものだった。

　こうした書き込みは現在も続いているものの、2ちゃんねる側ではオリジナルも含んだ一連のマルウェアによる書き込みを阻止しており、見かけ上は収拾している。だが、実際には、毎日600程度のIPアドレスから行われる約5万の書き込みをフィルタで阻止しているだけで、見かけこそ減ったものの、活動中のマシンはまだ多いようだ。

　2ちゃんねるのフィルタのログを筆者がまとめてみたところ、以下のようになった。

　 日時 　 書き込み元IPアドレス数 　 書き込み数
　 05/06 　 500 　 48700
　 05/07 　 610 　 56100
　 05/08 　 530 　 55700
　 05/09 　 510 　 47000
　 05/10 　 500 　 49200
　 05/11 　 500 　 52400
　 05/12 　 520 　 49100
　 05/13 　 510 　 52700
　 05/14 　 550 　 55900
　 05/15 　 590 　 57300
　 05/16 　 490 　 48800
　 05/17 　 480 　 44100

　ゴールデンウィークの終了とともに書き込みは減っているものの、相変わらず500以上のIPから書き込みが行われていることが分かる。これは、多くのユーザーが感染に気づかずにアクセスしていることを意味する。

　トレンドマイクロの情報によれば、TROJ_MELLPON.Aは「危険度：僅少、感染報告：低」となっているが、亜種も含め、現在なおそれなりの数のマシンが感染していることが分かる。

●アンチウイルスソフトでは不十分

　少なくない数のPCが山田ウイルスに感染したままになっている理由として、このマルウェアおよびその亜種は、「アンチウイルスソフトでは完全には検出できない」という点が挙げられる。

　以前の記事でも言及したが、山田ウイルスは再感染能力を持たず、感染元となるトロイの木馬本体のファイルは見つけにくい。また、過去に見つかっている亜種のうち1つのファイルサイズは巨大で、通常のアンチウイルスソフトベンダーへの検体提供手段では送付が困難だ（ちなみにこれまでの検体は、有志の手によってアンチウイルスベンダーにCD-Rで提供された。また筆者もできる範囲で収集した検体を提供している）。

　つまり、アンチウイルスソフトベンダーが十分な検体入手が行えず、結果としてパターンファイルの提供もされず、ユーザー側で検出できないという状態になっている。また、少なくとも既存の山田ウイルスは、いったん感染するとアンチウイルスソフトのアップデートを妨げるため、後日スキャンしたとしてもあまり意味をなさない。

　2ちゃんねるサイドでも万全な対応を行えない状況のようだ。もともと2ちゃんねるでは、特定メッセージを大量に投稿する「コピペあらし」がしばしば発生しており、こうした行為への対応は比較的迅速だった。したがって前述のとおり、山田ウイルスによる書き込みの阻止はフィルタによって比較的容易に行えていた。

　だが最新亜種では、投稿の内容をランダム化することで「対策」への「対応」を行っているようだ。その結果、最近では山田ウイルス亜種による2ちゃんねるへの投稿が再び目立つようになった（ちなみに先の表は、フィルタリングされたオリジナルによる書き込み数を元にしたものであり、亜種によるランダム投稿は含まない）。

　ランダム文字列を用いた書き込みは、以下のような感じになる。

　このように、亜種は「ｗｗｗ」「うぇ」「おｋ」や「ぷぷぷ」といった意味のない文字列をランダムに組み合わせて書き込むようになっており、2ちゃんねるが用意した投稿フィルタをすり抜けているようだ。なお、ここで挙げた書き込みでは、IPを元に生成された「ID」がすべて異なっているが、これは、各投稿がそれぞれ別のIPアドレスから行われていることを意味する。

　トレンドマイクロは5月18日現在、「TROJ_MELLPON.A-N」のパターンを提供している（パターンファイル「2.631.00」にてTROJ_MELLPON.H/I/J/L/Nに対応）。TROJ_MELLPON.Aは「危険度：僅少／ダメージ度：小」という評価だったが、TROJ_MELLPON.B／D／E／Fでは「ダメージ度：中」、TROJ_MELLPON.Lでは「ダメージ度：高」という評価になっている。

　2ちゃんねるサイドも先のランダム亜種が行う書き込みに対するフィルタを強化したようで、上記のような「よくわからない投稿」を目にするケースは明らかに減っている。

　だが、それは対処療法にすぎない。かつてMS Blast（Blaster）やCode Redといったウイルスが猛威を振るった後、多くのマシンで対処がなされた。それでもなおこれらのワームが吐き出す攻撃パケットは、インターネット上のトラフィックとして少なからず残ったし、現在も継続している。山田ウイルスの場合も同じように脅威が継続していると言えるだろう。

●怪しいファイルやフォルダは実行しない

　手元のPCが山田ウイルスに感染しているかどうかを確認する方法はいくつかある。

　まずWebブラウザで「http://127.0.0.1/」、つまり自分自身にアクセスし、反応があるかどうかを確認するという手段が一般的だ。大抵のマシン、特に自宅で利用しているPCの場合、httpサーバを実行しているケースは少ないため、上記のアドレスにアクセスしてもエラーになるはずだ（IEの場合は「ページが見つかりません」と表示される）。

　より確実にチェックを行うならば、Windows 2000／XPの場合はコマンドプロンプトから「netstat -a」を実行し、httpのLISTENING表示がないか確認するのがよいだろう。もしこうした文字列があれば、Webサーバの類が動作していることになる。

　ただし、ルータやパーソナルファイアウォールを適切に使っている場合、PC上でWebサーバが起動していたとしても外部には公開されず、2ちゃんねるへ書き込みがなされるという以外の被害はない。誰かが書き込み中のURLをクリックしてアクセスを試みたとしても、PCの内容をのぞかれるという最悪の事態までは免れる、ということだ。

　また山田ウイルスへの対症療法ということになるが、アウトバンド通信の監視が可能なパーソナルファイアウォールソフト、もしくはWebフィルタリングソフトを通じて、山田ウイルスによる2ちゃんねるへの書き込みを監視するといった手法もある。

　ただ、亜種によってはパーソナルファイアウォールソフトの動作を停止させるものが存在するようだ。

　以下の方法もマルウェア全般のチェックに有効だろう。

・アンチウイルスソフトの詳細画面を見て、パターンファイルの日付をチェックする。インターネットに接続しているのにパターンが古い場合（現在トレンドマイクロの「ウイルスバスター」は米国時間の月、水、金、シマンテックの「ノートンアンチウイルス」は木曜日に定例アップデートを行い、それ以外にも緊急リリースが行われている）は、何らかのトラブルがあるものと思われる。
・「C:\WINDOWS\system32\drivers\etc\hosts」（Windows XPの場合）をチェックし、怪しげなリストがないことを確認する。
・レジストリ（HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run）に怪しげな項目がないか確認する。この項目はソフトウェアのインストールによって増えることもあるため、問題のない平常時の項目を知っておく必要がある。

　なお山田ウイルスの場合、svchost.exeの名前を偽装に用いている（亜種では別の名称である可能性もある）。上のレジストリからsvchost.exeが呼びだされる可能性は少ないため、まずsvchost.exeの位置を確認し「C:\WINDOWS\system32\svchost」以外のものを指定している場合はただちに対応する必要があるだろう。

・スタートアップフォルダ「スタート→プログラム→スタートアップ」の中に見覚えのないショートカットやプログラムがないか確認する。このときは名称やアイコンで判断せず、プロパティを見てリンク先を確認する必要がある。

　起動時に常駐するタイプのマルウェアは、レジストリもしくはスタートアップを悪用して実行されるものが多い。なお、山田ウイルス亜種の中にはレジストリではなく、スタートアップを利用して起動するものも発見されている。

　一連のチェック作業は普段から習慣付けておくとよいが、何よりも大切なことは「怪しげなファイルは実行しない」ことだ。

　特に、見かけをフォルダや圧縮ファイルのように偽装するマルウェアは多い。出所の怪しいところからファイルやフォルダを入手したとしてもすぐにダブルクリックはせず、右クリックメニューから「開く」を行うよう習慣付けるのもよいだろう。プログラムの場合は「開く」の下に「別のユーザーで実行」メニューが、フォルダの場合は「エクスプローラー」メニューが表示されるため、これで違いに気づくこともできる。

　もう1つ、アンチウイルスソフトは新種のマルウェアに関して万能ではないということは、頭の片隅に入れておくことも重要だ。「完全スキャンしてもウイルスは見つからないから安全」とは言い切れない。つい先日明るみになった価格.comのWebサイトを経由して広がったウイルスのケースからも分かることだ。

http://www.itmedia.co.jp/enterprise/

http://headlines.yahoo.co.jp/hl?a=20050521-00000001-zdn_ep-sci