マイクロソフトは1月11日,ウイルスなどを駆除する「悪意のあるソフトウエアの削除ツール」の新版バージョン1.12をリリースした。新版ではボットの一種である「Bofra」や「Maslan」,「Partie」に対応。同ツールは「Microsoft Update」などから利用できる。
同ツールは,パソコンに感染し動作しているウイルス(悪質なプログラム)を検出し,そのプロセスを停止する。同時に,ハード・ディスク上のウイルス・ファイルを削除する。動作していないウイルス(ハード・ディスクに保存されているだけのウイルス)などは検出できない。また,ウイルスが実行されるのを食い止める機能もない。
同ツールはセキュリティ情報の月例公開日である毎月第2火曜日(米国時間)にバージョンアップされ,検出できるウイルス数を増やしている。今回公開されたバージョン1.12では,新たに「Bofra」や「Maslan」,「Partie」(いずれも変種を含む)を検出できるようになった。
BofraはWebサーバー機能を持つウイルス(ワーム)。TCPポート1639番でアクセスを待ち受け,「reactor」という文字列を含むURLリクエストを送信してきたユーザーに自分自身(実行形式ファイル)を送信する(ダウンロードさせる)。そのファイルを実行すると,Bofraに感染することになる。
加えてBofraは,感染パソコンに保存されているメール・アドレスを収集し,そのアドレスあてに「reactor」を含むURL(リンク)を記したメールを送信する。そのメールの受信者がリンクをクリックすると,Bofraがダウンロードされることになる。
さらにBofraはボットの機能を持つ。実行されると特定のIRCサーバーへ接続して攻撃者からの命令を待つ。そして,攻撃者の命令どおりに振舞う。具体的には,スパム(迷惑メール)の送信やDDoS(分散サービス妨害)攻撃の踏み台などに悪用される可能性がある。
Maslanはメールやファイル共有プログラムを使って感染を広げるウイルス。感染パソコンから収集したアドレスあてに,自分自身を添付したメールを送信する。併せて,ファイル共有プログラムのアップロード・フォルダを探して,そのフォルダ内に自分自身をコピーする。
ネットワーク経由でも感染を広げる。「MS03-039」や「MS04-011」のセキュリティ・ホールが存在するネットワーク上のマシンを探して,これらのセキュリティ・ホールを突いて感染を広げようとする。加えてMaslanは2種類のバックドア・プログラムをインストールして,後日,攻撃者が感染マシンにアクセスできるようにする。
Pariteは実行形式ファイルに感染するウイルス。感染マシンやファイル共有しているマシン中に.exeや.scrファイルを見つけると,自分自身をそのファイルに書き込んで感染する。Pariteの特徴は,感染のたびにコード(プログラム)を変化させるポリモーフィック型ウイルスであること。
同ツールの対応OSは,Windows 2000/XP/Server 2003。Microsoft Updateを実施すれば自動的にツールが実行される。Windows XP または Windows Server 2003 Service Pack 1 (SP1) では,Windows Updateからも利用可能。ダウンロードセンターからツールをダウンロードして実行することもできる。「悪意のあるソフトウェアの削除ツール」のWebページからは,同ツールのオンライン版を利用できる。
◎参考資料
◆Microsoft Windows 悪意のあるソフトウェアの削除ツール(KB890830)
◆悪意のあるソフトウェアの削除ツール
