セキュリティ企業のトレンドマイクロとシマンテックはそれぞれ2012年10月10日および10月11日、他人のパソコンを乗っ取るウイルス(悪質なプログラム)に関する解析結果を公表した。
10月7日以降、ウイルスを使って他人のパソコンから犯罪予告を行ったとされる事件が報道されている。両社が解析結果を公表したのは、この事件で使用されたとするウイルス。
シマンテックによれば、該当のウイルスは「遠隔操作ウイルス」と呼ばれているという。パソコンを遠隔から操作できるようにするためだと考えられる。
感染したパソコンを乗っ取り、インターネット経由で攻撃者が操作できるようにするウイルスは珍しくない。現在出回っているウイルスの多くが備えている機能だ。今回話題になったのは、ウイルス感染パソコンを使って犯罪予告が行われ、同パソコンのユーザーが逮捕されたため。
シマンテックによれば、現在確認されているウイルスのファイル名は「iesys.exe」。ただし、同様のウイルスに別のファイル名が付けられている可能性があるので、ファイル名だけで判断するのは危険。
今回のウイルスは、国内のある掲示板サイトを経由して、攻撃者からの命令を受け取る。ウイルスは、その掲示板サイトの特定のWebページにアクセス。攻撃者が書き込んだ命令を取得し、その内容に従って動作する。例えば、攻撃者が指定したWebサイトに、指定された文字列を投稿する。そのほか、以下のような動作が可能だという。
・Webブラウザーやデスクトップの画面を撮影する
・キーボード入力やマウス操作を記録する
・パソコンに保存されているファイルを外部に送信する
・特定のファイルをダウンロードする
・特定のファイルを実行する
・パソコンの設定を変更する
・ウイルス自身をアップデートする
・ウイルス自身を削除する
攻撃者からの命令を受け取る際の通信は暗号化されている。シマンテックによれば、暗号化通信のためのプログラムは、日本語のWebサイトから取得したものを流用しているという。プログラムには日本語が含まれている(図)。
また、報道などによれば、ウイルスを踏み台にした犯罪予告は日本語で行われている。これらのことからシマンテックでは、ウイルスの作成者は日本語に精通した人物の可能性が高いとみている。
