米Microsoftや米SANS Instituteによると,Microsoftが公開する「悪意のあるソフトウエアの削除ツール(Malicious Software Removal Tool)」によって,25万件の「Alcan.B」が駆除されたという。SANS Instituteが現地時間4月8日に明らかにした。Alcan.Bは「Kazaa」や「Ares」といった複数のファイル共有ソフトで感染を広げるウイルス(ワーム)。今のところ,Winny(ウィニー)で感染を広げる亜種は確認されていない。
Alcan.Bは単独の実行形式プログラム。実行されると,そのパソコンのハードディスクを検索し,ファイル共有ソフトのアップロード・フォルダ(公開フォルダ)を探す。見つけると,そのフォルダに自分自身を含めた圧縮ファイル(ZIPファイル)をコピーする。具体的には,「Kazaa」「Ares」「eMule」「Morpheus」「Grokster」「Bearshare」「Limewire」「eDonkey2000」「Gnucleus」「Shareaza」「Rapigator」---のアップロード・フォルダに,自分自身を含むZIPファイルをコピーする。
このとき,Alcan.Bは特定のWebサイトへアクセスし,その時点で人気がある“クラック・プログラム(正規ユーザーでなくても利用可能な状態にされたソフトウエア)”の名前を取得し,ZIPファイルのファイル名にする。ZIPファイルに含めるAlcan.Bのファイル名は「setup.exe」にする。
ZIPファイルを入手したユーザーが,そのファイルを展開してsetup.exeを実行すると,ウイザードの画面が表示される。この時点で,そのパソコンにはAlcan.Bがインストールされ,Alcan.Bは動作しはじめる。この画面で「Next」ボタンが押されると,「Setup cannot continue on windows NT based systems , Click ok to end Setup」といったエラー・メッセージを表示して,ユーザーにはインストールが失敗したように思わせる。しかし実際には,Alcan.Bは動き始めている。
インストールされたAlcan.Bは,前述のようにファイル共有ソフトを使って感染を広げようとする。加えて,特定のサイトから「Rbot」などのボット・プログラムをダウンロードしてインストールしようとする。このため,ファイル共有ソフトを使っていない場合でも,Alcan.Bを実行すると被害に遭う可能性がある。
Microsoftによると,同社の「悪意のあるソフトウエアの削除ツール」がAlcanに対応したのは,2006年2月。現在までに同ツールを実行したパソコン台数はおよそ2億5000万。そのうち,25万台でAlcan.Bが検出されたという。
なお「悪意のあるソフトウエアの削除ツール」は,Winnyで感染を広げる「Antinny」にも対応している。2006年3月時点で,43種類のAntinnyに対応しているという(関連記事)。
◎参考資料
◆MS genuinely surprised 250,000 unique systems infected with Alcan.B
◆News on Alcan, Mywife.E
◆Malicious Software Encyclopedia: Win32/Alcan
