今回はWORM_NETSKY.Pを取り上げる。WORM_NETSKYファミリーは2004年2月に登場し,世界的な大規模感染を巻き起こした2004年を代表するコンピュータ・ウイルスのひとつである。
世界的規模の感染報告を基にトレンドマイクロが発令するレッドアラート,イエローアラートと呼ぶ注意喚起は,2004年には1年間で過去最高の32回を記録した。その中でWORM_NETSKYファミリーは8回を占めている。これは2004年,2005年に猛威を振るったWORM_BAGLEファミリーについで過去2番目に多い数字だ(表1)。
図1は,トレンドマイクロのウイルストラッキングセンター(オンラインスキャンおよび複数の当社製品で発見された数を集計)におけるWORM_NETSKY.Pの感染報告数である。WORM_NETSKY.Pの感染報告数は,2004年3月21日から執筆時点まで34万台を超える感染報告が記録された。急激な右肩下がりのグラフになっているが,過去のコンピュータ・ウイルスにおける感染傾向を如実に表している。
過去の攻撃手法は,単一種のコンピュータ・ウイルスが派手に感染拡大をしたため,そのウイルスに対応したパターンファイルを配信すると,目に見えて報告数が減少していくのが常であった。現在の脅威と比較すると,我々にとって非常に対応しやすいものであったと言える。
なお,2007年から2008年にかけて再び感染報告数の数が増加しているが,残念ながら原因については分からない。ひとつ言えることは,発生から5年以上経過した今でも,一度インターネット上に放たれた不正プログラムは活動をし続け,いまだに感染報告は後を絶たないということである。
今回は,検証環境用に1台のWindows XP SP2のコンピュータ(テスト機)を用意した。なお,検証環境からほかのネットワークへ影響を及ぼさないように完全なローカルネットワーク環境で検証を行った。しかし,マスメーリング型の不正プログラムを検証するため,DNSサーバーとSMTPサーバーが必要となる。そこでBlackJumboDog (ブラック ジャンボ ドッグ)という各種サービスが提供可能なフリーソフトウエアを使用して,テスト機上でDNSサーバーおよびメール・サーバーを設定した(図2)。
