「Renamed Notepad.exe Plagues Removable Drives」より
March 4,2009 Posted by Vinoo Thomas
Windowsの自動実行ファイル「autorun.inf」を感染手段として用いるマルウエアがこの2年間で増え,まんまと被害を拡大させている。この手口は,以前から自動実行ワームが悪用していた。ところが今では,実行ファイルをクリックしてもらわないと感染できなかったはずの単純なバックドアやボット,パスワード不正取得プログラム,さらには寄生型ウイルスまで使うようになった。自動実行機能はユーザーのクリック回数を減らせるので,多少は便利な機能だ。ただし,人手を介して伝染する1980年代のマルウエア感染モデルを復活させてしまった。
この感染手法を取り入れた寄生型ウイルスとして,「W32/Sality」と「W32/Virut」の2種類がある。両ウイルスには,さまざまな亜種が存在する。W32/Salityの感染は,リムーバブル・ドライブ経由で広がる。ユーザーがW32/Sality感染済みパソコンにリムーバブル・ドライブを接続すると,パソコン内の「メモ帳(notepad.exe)」か「マインスイーパ(winmine.exe)」にW32/Salityが入り込み,これらファイルがリムーバブル・ドライブへコピーされる。W32/Sality入りnotepad.exeとwinmine.exeは,ランダムな文字列と「.pif」または「.scr」という拡張子を組み合わせた新たなファイル名に変更される。さらに,難読化したautorun.infもペアで作られる。以下にW32/Salityの一部コードとペアのautorun.infを掲載しておく。
W32/Salityのコード
ペアで作られたautorun.inf
リムーバブル・ドライブからウイルスを除去しても,新たなファイル名を与えられた実行ファイルは残る。そのままで実害はないが,ユーザーは元々どのようなファイルであったか混乱するだろう。そのうえ,拡張子はMS-DOSアプリケーション用の.pifやスクリーンセーバー用の.scrなのだ。
W32/Virutも,リムーバブル・ドライブに感染済みメモ帳をコピーする。W32/Salityと同じく,ファイルはウイルス除去後もしつこく残ってしまう。このように,マルウエアは自動実行機能を悪用することで,除去されても効果的な感染能力を維持できる(関連記事:「駆除したのに怪しいファイルが……」、USBウイルスが残す傷跡/「感染のたびに姿を変えるウイルス」が米国で猛威、国内でも要警戒/凶悪ウイルス「Virut」配布の新手口、違法コピーソフトに見せかける)。
Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Renamed Notepad.exe Plagues Removable Drives」でお読みいただけます。
