今回は、「WORM_PROLACO.EK」を取り上げる。「WORM_PROLACO.EK」は2010年11月中旬より日本国内をはじめ、米国、アジア、ヨーロッパなど幅広い範囲で感染が報告された不正プログラムである。「WORM_PROLACO.EK」の特徴として、複数の巧妙な拡散機能を持つマスメーリングワームであることが挙げられる。
メールの送信はもちろんのこと、近年のワームに多く見られるリムーバブルメディアを介した拡散活動、そしてネットワークドライブ、ピアツーピア(P2P)を利用したファイル共有アプリケーションの共有フォルダーへのファイル作成など多様である。ワーム活動に関しては、言うなれば「全部盛り」といったところだろうか。
「WORM_PROLACO.EK」はその中でも特に、ネットワークドライブを使用したワーム活動が巧妙である。これがマスメーリングワームが広く知られた現代においても多くの感染につながった原因と考えられる。
今回の検証に使用する環境として、2台のテスト機およびそれらのみが接続されているネットワークを用意した(図1)。2台のテスト機を、それぞれテスト機Aとテスト機Bとする。テスト機Bにはメールサーバーとして各種サービスを簡単に構築できるフリーウェア「BlackJumboDog」と、ネットワークドライブとして共有するフォルダーを設定した。テスト機AにはWebサーバー「Apache」とP2Pアプリケーション「WinMX」を設定し、テスト機B側で作成した共有フォルダーをネットワークドライブ(Y:\)に割り当てた。「Apache」については感染環境を一つにしたいため、あえてサーバーアプリケーションを動作させているテスト機Bでなくテスト機Aにインストールした。なお、検証により他のネットワークへ影響を及ぼさないよう、完全なローカルネットワーク環境を使用している。
きっかけはメールから
では早速、検証に取り掛かろう。まず、テスト機A上で実際に「WORM_PROLACO.EK」が添付され届いたメールを開く。そして添付されたzip圧縮ファイルを解凍する。すると解凍後のフォルダーには不正プログラムの本体である「document.exe」が確認できた(画面1)。この「document.exe」をダブルクリックし実行する。
