今回は今年2月に登場し,米国を中心に被害を広めた最新のファイル感染型ウイルスである「PE_VIRUX.A」を検証する。ファイル感染型ウイルスとは,既存のプログラムファイルに自身のウイルスコード寄生させることによって増殖する不正プログラムだ。
「ウイルス」という言葉は,もともとほかのプログラムファイルに寄生して増殖する不正プログラムのみを指す言葉であった。ファイル感染型ウイルスの作成にはある程度以上の技術力が必要なため,全体に占める割合は少なくなっている。しかし,そのような状況で登場し,被害を広めるファイル感染型ウイルスは高い技術力を応用した高度な活動を行うものが多い。近年でも「PE_SALITY」「PE_VIRUT」などといった高度なファイル感染型ウイルスのファミリーが確認されている。「PE_VIRUX.A」はそれらの高度な感染型ウイルスの最新モデルと言える存在だ。
では,早速「PE_VIRUX.A」を実行してみよう。ウイルス検体はファイル名がrs32net.exeだったものを分かりやすくVIRUX.EXEにリネームし,検証用コンピュータのデスクトップ上にコピーした。ファイルをダブルクリックで実行すると,VIRUX.EXEはWindowsのシステムフォルダにrs32net.exeファイルを作成し,プロセスを起動した。そしてrs32net.exe は,またsvchost.exeのプロセスを起動した(図1)。その後,元ファイルであるVIRUX.EXEのプロセスは終了した(図2)。
図1●virux.exeを実行した際のProcess Explorerの画面
図2●svchost.exeのプロセスが起動すると,virux.exeのプロセスは終了した
