コンセプト実証(PoC:Proof of Concept)ウイルスを2週間のうちに4種類も受け取った。こんなに多いのは初めてのことだ。通常はあまり頻繁には入手しない。
一つ目のPoCウイルスはMEL.Odorousと呼ぶもので,3次元スクリプティング言語Mayaに対応している。このウイルスはカレント・ディレクトリ内の未感染ファイルを見つけ,そのファイルに自分自身を付加する。ファイルに感染しても,そのファイルは感染前と変わらず使える。
二つ目のPoCウイルスはWHS.Vredと呼ぶもので,スクリプティング言語WinHexに対応している。WHS.VredもMEL.Odorousと同じく,カレント・ディレクトリ内で未感染ファイルを探し,自分自身を付加する。ただしWHS.Vredは,MEL.Odorousと違って感染したファイルを動かなくしてしまう。
三つ目はW32.Piffle,四つ目はW32.Weaklingとそれぞれ名付けた。いずれもWindows環境で影響を及ぼす。この名称は,両ウイルスの作者がSpiffyというプログラミング言語の使用を好み,「W32.Spiffy」および「WeakLNK」(「weak link」:弱いリンク)と呼んだことにならった。
W32.Piffleはカレント・ディレクトリ内で未感染ファイルを見つけたら,そのうちのどれか一つをランダムに選び,プログラム情報ファイル(PIF:Program Information File)を作ってそのファイルと置き換える。このPIFは珍しい形態をとる。一種のアーカイブ形式で,ウイルスのコードと元ファイルが一つのファイルに入っている。
このPIFが実行されると,内部のコマンドラインがコマンド・プロセッサを動かし,「debug.exe」とPIF自身の名称をパラメータとして渡す。コマンド・プロセッサはdebug.exeを起動し,元のPIFをスクリプトとしてdebug.exeに与える。同スクリプトはメモリー内にWindows用実行コードを作り,そのコードをハード・ディスクに書き込んでから実行する。コードは元のPIFを開き,アーカイブを展開して感染先のファイルを動かし,感染するほかのファイルを探す。
W32.Weaklingの機能はW32.Piffleと変わらず,PIF形式の代わりに「LNK」(ショートカット)形式を使う点だけが異なる。
ちなみに,ここで紹介したようなPoCウイルスは,実際にはユーザーに危害は与えない。ウイルス作者が研究を目的として,時間をかけて作っただけなのだ。もちろん,ウイルス対策の観点では,研究する価値は大いにある。
Copyrights (C) 2007 Symantec Corporation. All rights reserved.
本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「A PoC Epoch」でお読みいただけます。
