「悪意のあるソフトウエアの削除ツール」の実行例
「悪意のあるソフトウエアの削除ツール」の実行例
[画像のクリックで拡大表示]

 マイクロソフトは5月10日,ウイルスなどを駆除する「悪意のあるソフトウエアの削除ツール」の新版をリリースした。新版では「Plexus」「Evaman」「Ganda」に対応。同ツールは「Microsoft Update」などから利用できる。

 「悪意のあるソフトウエアの削除ツール」は,セキュリティ情報の“月例公開日”である毎月第2火曜日(米国時間)にバージョンアップされ,検出できるウイルス数を増やしている。現在ではファイル共有ソフト「Winny(ウィニー)」で感染を広げる「Antinny」や,いわゆる「山田オルタナティブ」にも対応している(関連記事)。今回公開されたバージョン1.16では,新たに「Plexus」「Evaman」「Ganda」に対応した(いずれも亜種を含む)。

 Plexusは,ファイル共有ソフト「Kazaa」やメールで感染を広げるウイルス。Windowsのセキュリティ・ホール「MS03-039」「MS04-011」を悪用して感染を広げる機能も持つ。

 Plexusが実行されると,パソコンの起動時にPlexusが実行されるようにレジストリを改変する。また,特定のアンチウイルス・ベンダーのサイトへアクセスできないようにhostsファイルを改ざんする。加えて,攻撃者がそのパソコンを自由に操れるように「バックドア」を開く。

 感染手法も複数備える。まず,Kazaaがインストールされているパソコンでは,Kazaaのアップロード・フォルダに自分自身のコピーを置いて感染を広げようとする。Windowsの共有フォルダにも自分のコピーを作成する。加えて,パソコン中のファイルから収集したメール・アドレスあてに,自分自身を添付したメールを送信する。さらに,「MS03-039」や「MS04-011」のセキュリティ・ホールを悪用して,ネットワーク経由で感染を広げる。

 Evamanは,メールで感染を広げるウイルス。メールに添付されたEvamanが実行されると,パソコン中のファイルや米Yahoo!が提供する「Yahoo! People Search」からメール・アドレスを収集して,そのアドレスあてに自分自身を添付したメールを送信する。

 加えて,パソコンが起動されるたびにEvamanが実行されるようにレジストリを改変する。特定のページをWebブラウザに表示させたり,セキュリティ・ソフトを停止させたりもする。Evamanの亜種の中には,ある日時以降は,ユーザーがログオンすると,すぐに強制的にログオフさせるものも存在する。

 Gandaも複数の感染手法を持つウイルスである。メールで感染を広げるとともに,パソコン中の実行形式ファイル(PEファイル)に自分自身を埋め込む。

 メールで感染を広げる際には「MS01-020」のセキュリティ・ホールを悪用するので,このセキュリティ・ホールが存在するパソコンでは,Gandaが添付されたメールをプレビュするだけでGandaに感染する(Gandaが勝手に動き出す)可能性がある。ただし,「MS01-020」は2001年に見つかった古いセキュリティ・ホールであり,Internet Explorer(IE) 5.5 SP2やIE 6以降では解消されている。

 「悪意のあるソフトウエアの削除ツール」の対応OSは,Windows 2000/XP/Server 2003。Microsoft Updateを実施すれば自動的にツールが実行される。Windows XP または Windows Server 2003 Service Pack 1 (SP1) では,Windows Updateからも利用できる。

 ツールは,ダウンロードセンターからダウンロードして実行することもできる。「悪意のあるソフトウェアの削除ツール」のWebページからは,同ツールのオンライン版を利用できる。

 なお,ダウンロードセンター版のツールでは,ウイルスのスキャン方法を「クイック スキャン」「完全なスキャン」「カスタム スキャン」の3種類から選択できる。デフォルトはクイック スキャンであり,ウイルスが感染している可能性が高いシステム領域だけをスキャンするという。ウイルスが検出された場合には,「完全なスキャン」を実行するよう促すメッセージが表示されることがある。

 「完全なスキャン」では,システム全体(ハードディスク全体)をスキャンする。このため,コンピュータによっては数時間かかる場合があるとしている。「カスタム スキャン」は,ウイルスが感染している可能性が高いシステム領域に加えて,ユーザーが指定したフォルダもスキャンする。

◎参考資料
悪意のあるソフトウェアの削除ツール
Microsoft Windows 悪意のあるソフトウェアの削除ツール(KB890830)
悪意のあるソフトウェアの削除ツールにより駆除されるファミリー
サポート技術情報890830 Windows Server 2003,Windows XPまたはWindows 2000 を実行するコンピュータから,流行している特定の悪質なソフトウェアを削除するMicrosoft Windows 悪意のあるソフトウェアの削除ツール