今回は予定を変更して、緊急のご報告をさせていただきたい。筆者は10月初旬より「mstmp」というファイル名のウィルスに悩まされていた。このウィルスが発見されてから3週間近くが経過しているにもかかわらず、2010年10月26日現在でインターネット上に情報が公開されているのはトレンドマイクロ社のブログ(該当サイト)のみである(その後、JPCERT/CCによる注意喚起と東京SOCによる報告も公開)。

 実は、このウィルスの感染ルートに関する公開されていない最新情報を、筆者および共同で今回の事案に対応した人たちとの間で保有することができた。このウィルス発見の初動から、ウィルスの感染経路を探っていく過程で非常に貴重な体験をした。今回は、その経験と併せて、この新種のウィルスの技術情報をITpro読者と共有していこう。

 まずは、今回の事案について判明した事象、そしてその時に筆者がどう考えて何を行動したかを、時系列に沿ってお伝えする。

10月6日(水)●ウィルスの発見から初動

 筆者は、何社かの顧客についてウィルス対策サーバーの運用をお手伝いしている。その複数の企業に設置している複数のウィルス対策サーバーから、時間/場所/ユーザーに相関関係のない複数のファイルがウィルスとして判定された。具体的には以下の三つのファイルについて、多数のウィルス判定が出た。

  • (1)C:\Documents and Settings\ユーザー名\Local Settings\Temp\mstmp(ウィルス判定の結果:Downloader)
  • (2)C:\Documents and settings\ユーザー名\local settings\Temp\0.数字16桁.swf(ウィルス判定の結果:Trojan Horse)
  • (3)C:\Program Files\Shared\lib.dll(ウィルス判定の結果:Trojan Horse)
図1●mstmpをVirusTotalで調査した結果
図1●mstmpをVirusTotalで調査した結果
[画像のクリックで拡大表示]

 この時点では筆者は、ウィルス対策サーバーによる誤検知を疑っていた。過去数カ月の間に、3度ほどウィルスを誤検知する騒ぎがあったからだ。具体的には、圧縮ソフトLhaplusによる自己解凍型ファイル、プリンタドライバ、リモートアクセス用SSL-VPN装置のJavaプログラムの一部のDLLファイルが誤検知された。これらの誤検知についても、今回の案件と同じように、複数の企業や複数の個所で相関性なく同様のパターンで検知報告が届けられたため、同じパターンではないかと疑ったわけである。

 幸い、このうちの(1)のmstmpについては検体が直ぐに手に入った。この検体をウィルスなどのマルウエアに該当しないかスキャンして検査してくれるサービス「VirusTotal」(関連記事)で調べたところ、図1のような結果となった。

 この結果を見ると、該当するタイプは少ないとはいえ、やはりウィルスとして判定できるようである。ウィルス対策サーバーでの検知状況からは、筆者はまだ誤検知の可能性を疑ってはいたものの、契約しているウィルス対策ベンダーSymantec社の検体提出窓口に検体を送って分析結果を待つこととした。前回の誤検知のときには、同様の分析でSymantec社からは誤検知と判断してもらっていた。この日の作業は、これで終了した。