• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

“墓穴を掘る”ウイルス出現、“宿主”パソコンを起動不能に

勝村 幸博=日経パソコン 2007/07/23 日経パソコン
図1 「Rubble」に感染したパソコンのフォルダー例(英ソフォスの情報から引用)。Windowsのシステムファイル「ntdr」が、ウイルスファイル「ntdr.exe」に置き換えられている
図1 「Rubble」に感染したパソコンのフォルダー例(英ソフォスの情報から引用)。Windowsのシステムファイル「ntdr」が、ウイルスファイル「ntdr.exe」に置き換えられている
[画像のクリックで拡大表示]
図2 「Rubble」に感染したパソコンの起動画面例(英ソフォスの情報から引用)。ブートローダー(NTLDR)がないので、Windowsが起動しない
図2 「Rubble」に感染したパソコンの起動画面例(英ソフォスの情報から引用)。ブートローダー(NTLDR)がないので、Windowsが起動しない
[画像のクリックで拡大表示]

 セキュリティベンダーの英ソフォスは2007年7月19日、新しいウイルス(ワーム)「Rubble(ラブル)」を確認したとして注意を呼びかけた。パソコン中の既存のファイルすべてをウイルスファイル(自分自身のコピー)に置き換えることが特徴。システムファイルまで置き換えるので、ウイルスの“宿主”である感染パソコンは起動しなくなる。

 今回報告されたRubbleは、実行されるとすべてのドライブ(ローカルドライブおよびリムーバブルドライブ)をスキャンし、見つけたファイルすべてをウイルスファイルに置き換える(ウイルスをコピーして、既存のファイルを消去する)。

 この際、ウイルスファイル名は、既存のファイル名の最後に「.exe」を付加したものにする。Windwosのデフォルト設定では、exeの拡張子は表示されない。このためソフォスによれば、ファイルを置き換えられても、ユーザーはすぐには気が付かない可能性が高いという。

 ただしこの“戦略”には、大きなミスがある。Windowsのシステムファイルまでウイルスに置き換えてしまうので、感染パソコンが起動しなくなる。具体的には、Windowsを起動するためのプログラム(ブートローダー)のNT Loader(NTLDR)を消去し、その代わりにウイルスファイル「ntldr.exe」をコピーしておく(図1)。

 このため、この感染パソコンを再起動しようとすると、「NTLDRがない(NTLDR is missing)」と画面表示されて、起動しなくなる(図2)。これにより、この感染パソコンからの感染拡大はストップする。ソフォスでは、このウイルスは「墓穴を掘っている(shoots itself in the foot)」と解説する。

 一方で、このウイルスに感染したパソコンのユーザーは悲劇だ。パソコンは起動しなくなる上に、パソコン中のファイルはウイルスに置き換えられている。同社では、「このウイルスに感染したら、Windowsを再インストールする必要があるばかりではなく、多くのデータを失うことになる」としている。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る