朝日新聞は10月20日,「キャンパス・アサヒコム」の閲覧で感染する恐れがあったウイルスの名称などを公表した。10月17日から18日午後5時30分ごろまでにセキュリティ・ホールがあるInternet Explorer(IE)でキャンパス・アサヒコムを閲覧した場合には,パソコンへの侵入を許すようなプログラム(バックドア)を仕掛けられている可能性がある。ただし,悪用されるセキュリティ・ホールは2002年に公表された古いものなので,Microsoft Updateなどを実施しているユーザーなら感染している恐れはない。
キャンパス・アサヒコムとは,朝日新聞が運営するニュース・サイト「アサヒ・コム」からリンクが張られている広告サイト。キャンパス・アサヒコムの運営は外部の制作会社に委託している。朝日新聞は10月19日,このキャンパス・アサヒコムが不正アクセスを受けて,ウイルスをダウンロードさせるようなコードがWebページに仕込まれたことを明らかにした(関連記事)。
今回公表されたのは,ダウンロードされる恐れがあったウイルスの名称である。同社の発表によれば,ウイルス(悪質なプログラム)は以下の3種類。いずれもトレンドマイクロによる名称である。
(1)CHM_DROPPER.CP
(2)TROJ_DROPPER.PC
(3)BKDR_PCCLIENT.BV
これらは,他のファイルに感染する“機能”は持たない。このため,厳密には(狭義の)ウイルスではない。しかしながら,現在では悪質なプログラムを(広義の)ウイルスと呼ぶことが多いので,ウイルスの一種とされることが多い。
トレンドマイクロによると,(1)CHM_DROPPER.CPは,「2002年3月28日 Internet Explorer用の累積的な修正プログラム(MS02-015)」で公表されたObjectタグの処理に関するセキュリティ・ホールを突くコード。実体はCHMファイル(コンパイル済みHTMLヘルプ・ファイル)。「MS02-015」のセキュリティ・ホールがあるIEでCHM_DROPPER.CPを読み込むと,CHM_DROPPER.CPは自身のファイルに含まれるデータを使って(2)のTROJ_DROPPER.PCを作成し実行する。
TROJ_DROPPER.PCの実体は「fucksnow.exe」という実行形式プログラム。TROJ_DROPPER.PCが実行されると,(3)BKDR_PCCLIENT.BVを作成するとともに,BKDR_PCCLIENT.BVが実行されるようにレジストリを改変する。
最終的に作成される(3)BKDR_PCCLIENT.BVは,「Yndbybmh.dll」「Yndbybmh.d1l」「Yndbybmh.sys」という3種類のファイルで構成される。Yndbybmh.dllは,攻撃者がそのパソコンにアクセスできるようにするバックドア・プログラムである。ランダムなポートを開いて攻撃者からのリクエストを待ち受ける。攻撃者はそのパソコンの情報を盗んだり,任意のファイルをダウンロードさせたりすることが可能となる。実行中のプロセスを強制終了することもできる。Yndbybmh.sysは,BKDR_PCCLIENT.BVを構成するファイルが,エクスプローラやタスクマネージャー,レジストリエディタなどから見えないようにするプログラムである。
つまり,「MS02-015」のセキュリティ・ホールがあるIEで,10月17日から18日午後5時30分ごろまでにキャンパス・アサヒコムを閲覧したユーザーは,知らないうちにバックドア・プログラムYndbybmh.dllが仕込まれて稼働している可能性がある。
今回のキャンパス・アサヒコムの事件では,同サイトのページには,別サイトに置かれたCHM_DROPPER.CPを呼び出すHTMLのコードだけが追加されていたと考えられる。コードが追加されたページを閲覧すると,別サイトに置かれたCHM_DROPPER.CPがパソコンにダウンロードされた。
どのブラウザを使っていても,別サイトに置かれたCHM_DROPPER.CPはダウンロードされた(ローカルにコピーされた)。ただし,「MS02-015」のセキュリティ・ホールがあるIEを使っている場合に限り,CHM_DROPPER.CPからTROJ_DROPPER.PCが作成されて実行され,BKDR_PCCLIENT.BVも作成ならびに実行された。
前述のように,CHM_DROPPER.CPが突くセキュリティ・ホール「MS02-015」は2002年3月に発表されたものであり古い。このためIE 6 SP1を使っているユーザーや,最近一度でもMicrosoft Update(Windows Update)を実施したユーザー,「自動更新」機能を有効にしているユーザーなどは,被害に遭わなかったと考えられる。
感染しているかどうかは,各ウイルスが“産み出す”プログラム(ウイルス)がシステム・フォルダ(例えば,「C:\Windows\System」や「C:\WinNT\System32」)に存在するかどうかを調べれば分かる。ただし,Yndbybmh.sysの機能により,エクスプローラからは確認できない場合があるので注意。
トレンドマイクロが公開する専用の駆除ツールでも確認できる。ツールを実行して「Execute pattern count(1), Virus found count(0), Virus clean count(0), Clean failed count(0)」と表示されれば,感染していない。感染している場合には自動的に駆除する。マニュアルによる駆除方法は,「TROJ_DROPPER.PC」や「BKDR_PCCLIENT.BV」の情報にそれぞれ記載されている。
◎参考資料
◆ウイルスに関する情報と駆除の方法について(朝日新聞社)
◆CHM_DROPPER.CP(トレンドマイクロ)
◆TROJ_DROPPER.PC(トレンドマイクロ)
◆BKDR_PCCLIENT.BV(トレンドマイクロ)
◆「CHM_DROPPER.CP」「TROJ_DROPPER.PC」「BKDR_PCCLIENT.BV」専用駆除ツール(トレンドマイクロ)
