ファイル共有ソフトを狙うウイルスといえば、Microsoft Office関連のドキュメントファイルやメールファイルなどをWinny(ウィニー)やShare(シャレ、シェア)のネットワークに放流するAntinny(アンティニー)が有名だ。パソコンに保存していたデータ次第では致命的な情報流出を伴うため、これまでに公表されたほとんどの流出事故は、このAntinny系のウイルス感染が引き起こしている。
Antinny系のウイルスは昨春見つかった通称「シャレタマ」以来、久しく新亜種の出現は聞かないが、昨夏に登場した通称「原田ウイルス」は、その後も手を変え品を変えて、今もなお増殖を続けている。
原田系のウイルスは、ネットで配布されている偽装ファイル作成ツールを使って作られたものと見られている。このツールは、.exeや.scrなどの実行ファイルを.aviのような動画ファイルなどに見せかける機能を持つ。アイコンを偽装し、ファイル名を水増しして「ファイル名.avi .scr」というようなファイルを生成。再生しようとすると、プログラムが実行されるという仕掛けだ。
実質的には、あらゆるプログラムを偽装することができるが、中でも特徴的なアニメキャラクタの画像を表示するタイプは、「ケンシロウウイルス」「涼宮ハルヒウイルス」「朝比奈みくるウイルス」「Kanonウイルス」などといった通称で呼ばれている。もちろん、ただ単に画像を表示するだけなら実害はないが、その裏でハードディスク内のファイルを削除したり、上書きしたりなどの悪事を働くことはいうまでもない。
トレンドマイクロのウイルスデータベースに登録された原田系ウイルスの数は、昨夏以来増え続け100種類近くにまで増殖。先月26日には、Kanonシリーズのニュータイプと思われる「TSPY_DENUTARO.DM」が新たに追加された。当該ウイルスは、シマンテックが23日に報告した「Trojan.Pirlames」と同じもので、Program Files以下のファイル削除や、特定のファイルを画像ファイルで上書きするほか、デスクトップのスクリーンショットやIPアドレスなどを収集し、外部に漏えいしようとする。
ウイルス自身には拡散機能はなく、ファイル共有ソフトのネットワーク内の特定のファイルという限定的な攻撃であるため感染する危険性は低く、両社とも危険度は最低ランクとなっている。が実情は、検体が提供されてようやくウイルス対策ソフトが対応したところ。対応以前に特定のファイル名に興味を持ち、偽装ファイルであることを見抜けなかったユーザーたちが、ことごとく大きな被害を受けていたという現実がある。
(2007/03/01 ネットセキュリティニュース)
■ウイルス情報
・TSPY_DENUTARO.DM(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_DENUTARO.DM
・Trojan.Pirlames(シマンテック)
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.pirlames.html
■HelloScreen Saver, Sayonara Files(Symantec Security Response Weblog)
http://www.symantec.com/enterprise/security_response/weblog/2007/02/hello_screen_saver_sayonara_fi.html
【過去記事:ネットセキュリティニュース】
・[Winny/Share]ウイルス情報:ハイブリッドウイルス「シャレタマ」続々登場(2006/07/24)
・山田の次は原田、Winny/Shareで感染を広げる新型ウイルス「Haradong」(2006/06/23)
・WinnyのウイルスAntinnyの新亜種出現:セキュリティベンダーが警告(2006/04/21)
・新型Winnyウイルス「Exponny」出現:ディスクを丸ごと公開(2006/03/23)
・Winnyウイルス「Antinny」の亜種にセキュリティベンダーが警告(2006/02/02)