2008年1月,日本初のウイルス作者逮捕があり,大きな話題となった。逮捕された容疑者は一般に「原田ウイルス」と呼ばれる一連の不正プログラム・ファミリーを作成していたとされている。今回取り上げる「TSPY_DENUTARO.B」(デヌタロ,2006年3月登場)も,同じ容疑者が作成を認めているものの一つである。

 原田ウイルスの特徴は,人気アニメの画像や容疑者の同級生の写真を表示する愉快犯的な発病があることである。ただ,それらの画像はニュースなどでもよく見かけるものなので,少し種類の異なる「TSPY_DENUTARO.B」をサンプルとして選んだ。

図1●「TSPY_DENUTARO.B 」のアイコン
図1●「TSPY_DENUTARO.B 」のアイコン

 検証に当たり,検体は分かりやすく“DENUTARO-B.EXE”というファイル名にしておくが(図1),一般にはWinny経由で出回るため,ユーザーの興味をひきやすいファイル名にしてあることが普通である。

 また,アイコンは動画であることを示すものになっており,ユーザーが勘違いして実行することを狙っている。検証環境は図2の通りである。

図2●検証環境
図2●検証環境
スタンドアロン環境のテスト機上でTSPY_DENUTARO.Bを実行する

 まず,単純に検体をコンピュータ上で実行してみよう。実行すると途端にエラー・メッセージが表示された(図3)。

図3●「TSPY_DENUTARO.B 」実行時のエラー・メッセージ
図3●「TSPY_DENUTARO.B 」実行時のエラー・メッセージ

 不正プログラムの手口として,ユーザーをだますためにこのようなエラー・メッセージを表示するものは多い。だが,確認したところ,このエラー・メッセージの後は何の活動も行われていなかった。つまり,この場合は本当にエラー・メッセージだった。

 このメッセージ内の”MSWINSCK.OCX”というファイルは,主にVisual Basicで作成されたプログラムで使われるネットワーク通信用のファイルである。フリーウエアなどでもこのエラーが出ることが多いようだ。実際,この「TSPY_DENUTARO.B」をはじめとする原田ウイルスファミリーはVisual Basicで作成されているようなので,Visual Basicのランタイムがインストールされていないと稼働しない。そこで,Visual Basicのランタイムをインストールした。

デスクトップ上のファイルを破壊

 ランタイム・インストール後,再度実行したところ,以下のメッセージが表示された(図4)。

図4●Visual Basicランタイム・インストール後に「TSPY_DENUTARO.B 」を実行した際の表示メッセージ
図4●Visual Basicランタイム・インストール後に「TSPY_DENUTARO.B 」を実行した際の表示メッセージ

 京都府警の捜査をかたるメッセージである。京都府警は,もちろんWinny作者を逮捕したところであるため,かたられたものであると考えられる。この不正プログラムを作った約2年後に自分も京都府警に逮捕されるとは,ウイルス作者も思ってもいなかっただろう。ちなみに京都府警にはハイテク犯罪対策室というところはあるようだが,ここでかたられているサイバー犯罪課という部署は無いようである。

 また,TCPVIEW上では,実行したプログラムがネットワーク通信を行おうとする動きも確認できた(図5)。

図5●TCPViewで見たネットワーク通信状況
図5●TCPViewで見たネットワーク通信状況

 しかし,検証環境はネットワークに接続していない。スタンドアロン環境であるためか,すぐにエラー・メッセージが出た(図6)。

図6●ネットワーク接続のエラー
図6●ネットワーク接続のエラー

 エラー・メッセージのOKボタンをクリックすると「TSPY_DENUTARO.B」の活動は終了した。不正プログラムがもう動いていないことを確認した後,「TSPY_DENUTARO.B」を実行したデスクトップを見ると「犯罪者2008年4月24日163512.txt」というテキスト・ファイルが作成されていた。ファイル名には,この不正プログラムを実行した日時が入っているようである。ほかにも,検証のためデスクトップに保存しておいたキャプチャ画像のファイル名が頭に「♀」が付く形に変更されていた(図7)。

図7●「TSPY_DENUTARO.B 」を実行した後のデスクトップ
図7●「TSPY_DENUTARO.B 」を実行した後のデスクトップ
[画像のクリックで拡大表示]

 「犯罪者~」のファイルを開いてみると,内容はコンピュータ名,IPアドレス,あとはデスクトップにあって名前を変更されてしまったファイルの元のファイル名が記録されていた。ファイル名が変更されたファイルは,元々画像のファイルだったが,すべて画像データではなくなっており,ダブルクリックしても開くことはできない。調べてみると,内容はすべて「捜査にご協力ありがとうございます 春の旅行にはぜひ,古都京都へ」というテキスト・データで上書きされ,破壊されていた(図8)。

図8●「TSPY_DENUTARO.B 」が作成したファイル,上書きしたファイル
図8●「TSPY_DENUTARO.B 」が作成したファイル,上書きしたファイル
[画像のクリックで拡大表示]

 一点「犯罪者~」のファイル内容について補足すると項目は「ユーザ名」となっているが,実際に記録されているのはこの検証に使用したコンピュータのコンピュータ名である。コンピュータ名と書くべきところを間違えてユーザ名としてしまったのか,もともとユーザ名を記録するつもりでコンピュータ名のデータを参照してしまったのか,どちらなのかは作者のみぞ知るところである。またIPアドレスもネットワーク接続が無いためループバックの127.0.0.1になっているようである。

 ここまでで確認できた活動をまとめると,「TSPY_DENUTARO.B」は実行されると,カレント・フォルダ内にあるファイルをメッセージのデータで上書きして破壊し,ファイル名を変更する。そして破壊したファイルのリストと共にコンピュータ名とコンピュータのIPアドレスを「犯罪者+実行した日時」というファイル名のテキスト・ファイルに記録する,ということが分かった。ファイルが多く置いてあるところで実行してしまった場合ほど大きな被害になると言える。