今回は1998年に登場した「WORM_SKA.A」(スカ)の活動を検証する。「WORM_SKA.A」はメールの添付ファイルとして自身のコピーを頒布するワームとして初期のものだ。新年の挨拶をイメージさせることでユーザーの興味を引き,添付ファイルを実行させる手法によって流行した。”HAPPY99.exe”という名前のファイルとしてユーザーの下に侵入してくることから,一般に「HAPPY99」という呼称で知られているので,ここでも「HAPPY99」と呼ぶことにする。検証環境は図1の通りである。
 |
| 図1●検証環境 テスト機で「 WORM_SKA.A 」を実行し,その後の活動を観察する |
検証1:Windows XPを使った検証
今から10年前に流行したマスメーリング・ワームはどんな活動だったのだろうか。まず単純にWindows XPがインストールされたコンピュータ上でワームの検体を実行してみた。ファイルは,元のままの”HAPPY99.exe”の名前にしてある(図2)。
 |
| 図2●「Happy99」の本体 [画像のクリックで拡大表示] |
ファイルをダブルクリックして実行すると「Happy New Year 1999 !!」というタイトルのウインドウが開く。そして,打ち上げ花火のようなドットのアニメーションが表示された(図3)。
 |
| 図3●「Happy99」実行後に表示される打ち上げ花火のアニメーション [画像のクリックで拡大表示] |
この花火のウインドウを閉じてしまえば,表面上は特に何事もなかったかのように見える。ほとんどのユーザーは,「単純に新年を祝うアニメーション表示を行うプログラムであって特に危険なものではない」と思うだろう。それがウイルス作者の狙いである。
では,このユーザーをだますアニメーション表示の裏で,このウイルスは何を行っているのか。各種モニタリング・ソフトを使用して実行後の活動をモニタリングしてみよう。実行すると「Happy99.exe」というプロセスが登場した。実行中は常時90%以上CPUを占有しているようである。このプロセスは特にほかのプロセスの起動などは行わず,花火のウインドウを終了させると消えた。通信のモニタリングによれば「Happy99.exe」自体は特に通信も行っていないようである(図4)。また,レジストリに対しても特に書き込みを行うような活動はなかった。
 |
| 図4●「Happy99」による外部との通信の確認画面 [画像のクリックで拡大表示] |
