セキュリティベンダーの英ソフォスは2007年7月19日、新しいウイルス(ワーム)「Rubble(ラブル)」を確認したとして注意を呼びかけた。パソコン中の既存のファイルすべてをウイルスファイル(自分自身のコピー)に置き換えることが特徴。システムファイルまで置き換えるので、ウイルスの“宿主”である感染パソコンは起動しなくなる。
今回報告されたRubbleは、実行されるとすべてのドライブ(ローカルドライブおよびリムーバブルドライブ)をスキャンし、見つけたファイルすべてをウイルスファイルに置き換える(ウイルスをコピーして、既存のファイルを消去する)。
この際、ウイルスファイル名は、既存のファイル名の最後に「.exe」を付加したものにする。Windwosのデフォルト設定では、exeの拡張子は表示されない。このためソフォスによれば、ファイルを置き換えられても、ユーザーはすぐには気が付かない可能性が高いという。
ただしこの“戦略”には、大きなミスがある。Windowsのシステムファイルまでウイルスに置き換えてしまうので、感染パソコンが起動しなくなる。具体的には、Windowsを起動するためのプログラム(ブートローダー)のNT Loader(NTLDR)を消去し、その代わりにウイルスファイル「ntldr.exe」をコピーしておく(図1)。
このため、この感染パソコンを再起動しようとすると、「NTLDRがない(NTLDR is missing)」と画面表示されて、起動しなくなる(図2)。これにより、この感染パソコンからの感染拡大はストップする。ソフォスでは、このウイルスは「墓穴を掘っている(shoots itself in the foot)」と解説する。
一方で、このウイルスに感染したパソコンのユーザーは悲劇だ。パソコンは起動しなくなる上に、パソコン中のファイルはウイルスに置き換えられている。同社では、「このウイルスに感染したら、Windowsを再インストールする必要があるばかりではなく、多くのデータを失うことになる」としている。
