米マカフィーは2007年12月26日(米国時間)、「Word」の文書ファイルに感染する「Autorun」ウイルスについて注意を呼びかけた。同ウイルスは、Word文書ファイルに自分自身を追加して感染。ファイル形式を実行形式に変換する。アイコンや拡張子の表示などを“工夫”するので、用心深いユーザーでも気付かないという。
Autorunは、主にUSBメモリーなどのリムーバブルメディアを介して感染を広げるウイルス。今までに、多数の亜種(変種)が出現している。マカフィーではここ数カ月にわたって、同ウイルスを調査していた。その結果、ユーザーはもちろん、ウイルスの研究者ですら気付いていない挙動を示すことが明らかになったという。Word文書への感染である。
この感染挙動について、同社では動画を用いて解説している。図1の「LisezMoi.exe」がウイルスの実体。Word文書のアイコンを表示してユーザーをだまそうとしているが、実体は実行形式ファイル(アプリケーション)。
このファイルを実行すると、パソコン中のWord文書を探し出して感染。具体的には、自分自身を追加して実行形式ファイルにする。図2では、「Hello World.doc」に感染して、「Hello World.exe」に変換する。
図2では拡張子が表示されているが、実際には、ウイルスはレジストリを操作して、拡張子が表示されない設定にする(図3)。アイコンやファイルタイプの表示は、Word文書のままになるように操作しているので、図3を見る限りでは、変わっているのはファイルサイズのみ。
ここで、この「Hello World.exe」を開く(ダブルクリックする)と、ウイルスが動き出すとともに、元の文書ファイル「Hello World.doc」をWordを使って開く。このため、ウイルス感染に気付くことが難しい。
ただし、拡張子を表示させる設定にしていれば、ウイルス感染時に拡張子が非表示になるので、異常に気付く可能性がある。また、前述のようにファイルサイズの変化からか分かる場合もあるだろうとしている。
今後は文書ファイルだけではなく、動画や音楽ファイル、HTMLファイルなどに感染するようなウイルス(手口)が出現する恐れがあるとしている。そういったウイルスへの対策としては、文書ファイルやメディアファイルを置いている「マイ ドキュメント」や「マイ ミュージック」といったフォルダー上では、ファイルを実行できないように設定しておくことが考えられるという。