「悪意のあるソフトウエアの削除ツール」の実行結果例
「悪意のあるソフトウエアの削除ツール」の実行結果例
[画像のクリックで拡大表示]

 マイクロソフトは7月12日,悪質なプログラム(ウイルス)を検出して削除する「悪意のあるソフトウエアの削除ツール」の新版を公開した。新版では“偽セキュリティ・ソフト”をインストールさせようとする「Alemod」や,2001年のNimdaウイルスによく似た「Chir」などに対応した。ダウンロードセンター「Microsoft Update」などから利用できる。対応OSはWindows XP/2000/Server 2003。

 今回公開された新版では,新たに「Alemod」「Chir」「Hupigon」「Nsag」に対応した(いずれも亜種を含む)。

 Alemodは,“偽セキュリティ・ソフト”をインストールさせようとするウイルス。有用なプログラムに見せかけられたAlemodを実行すると,「コンピュータはスパイウエアに感染しています」といったメッセージが記述されたHTMLファイルを,デスクトップの壁紙に設定する。ファイルには,スパイウエア駆除ソフトをダウンロードさせるWebサイトへのリンクも記述されている。だが,リンク先のサイトからダウンロードされるのは,スパイウエア駆除ソフトをかたったスパイウエアそのもの。同時にAlemodは,壁紙を変更できないようにレジストリを変更する。

 併せてAlemodは,特定のWebサイトへ送信するデータ(例えば,パスワードやクレジット・カード番号など)を「Nsag」ウイルス(後述)と“協調”して収集するプログラム(DLLファイル)をインストールする。加えて,「Your computer is infected!」といったバルーンを表示させて偽セキュリティ・ソフトをインストールさせようとするプログラムなどもインストールする。

 さらに,デスクトップ上に2つのショートカット・アイコン(「Download Music」と「Download Movies」)を作る。これらをクリックすると,ウイルスやスパイウエアをインストールさせようとするWebサイトへ誘導させる。

 Chirは,メールで感染を広げるウイルス。メールに添付されたChir(実行形式ファイル)を開くと感染し,Chir添付メールを送信させられる。また,Chirを添付したメールには,2001年に公表された「MS01-020」のセキュリティ・ホールを突く仕掛けが施されている。このため,このセキュリティ・ホールが存在する環境では,メール本文をプレビュするだけでChirが勝手に実行される恐れがある。ただし,「MS01-020」は2001年に見つかった古いセキュリティ・ホールであり,Internet Explorer(IE) 5.5 SP2やIE 6以降では解消されている。

 また,Chirはパソコン内の実行形式ファイル(.exe,.scr)に感染する。加えて,自分自身を「readme.eml」というファイル名で,HTMLファイルが置かれているフォルダにコピーする。さらに,フォルダ内のHTMLファイルには,readme.emlを呼び出すようなJavaScriptを追加する。これらの挙動は,2001年9月に猛威を振るった「Nimda」ウイルスに酷似している(関連記事:「Nimda」ウイルス出現)。

 Hupigonは,攻撃者がパソコンに自由にアクセスできるようにする「バックドア」の一種。バックドアをインストールさせる「ダウンロード」や,ユーザーのキー入力などを盗む「キーロガー」も,Hupigonの変種(亜種)として検出される。

 Nsagは,別のウイルス(例えば,前述のChir)と協調して,特定のWebサイトへ送信されるデータを盗むウイルス。別のウイルスが,Windowsのシステム・ファイルであるwininet.dllに特定のコードを挿入することでNsagが作られる。

 悪意のあるソフトウエアの削除ツールはダウンロードセンターから入手できる。Microsoft Updateからも適用可能。Windows XPおよびWindows Server 2003 SP1については「Windows Update」からも利用できる。「悪意のあるソフトウエアの削除ツール」のWebページからは,同ツールのActiveXコントロールを利用できる。

 同ツールは,基本的には現在動作中のウイルスを検出および駆除する。ハードディスクに保存されているウイルスを検出・駆除する機能や,ウイルスが実行されるのを食い止める機能はない。ただし,ダウンロードセンターから入手したツール(ダウンロード版)では,「完全なスキャン」を選択すれば,ハードディスク全体を検査できる。

 ただし「完全なスキャン」を利用しても,同ツールの対応ウイルス数は,現在出回っているウイルスと比較すれば,圧倒的に少ない。このため同社では,「このツールは,ウイルス対策ソフトウエア製品に代わるものではない」としている。

悪意のあるソフトウエアの削除ツール (KB890830)
悪意のあるソフトウエアの削除ツール