情報処理推進機構(IPA)は2012年11月1日、いわゆる「遠隔操作ウイルス」の調査結果を発表するとともに、ウイルス対策の重要性を改めて呼びかけた。
ここでの遠隔操作ウイルスとは、他人のパソコンを乗っ取って、自由に操作できるようにするウイルスのこと。特に、他人のパソコンから犯罪予告を行ったとされる一連の事件で使われたウイルスを指す(図1)。
IPAでは、該当のウイルスを入手。その調査結果を公表した。それによると、遠隔操作ウイルスは、ZIP形式の圧縮ファイルとしてインターネットに置かれていたという。
同ウイルスは、有用なソフトウエアに見せかけて置かれていたとされている。今回IPAが入手したのは、「文字置換ソフト」に見せかけたウイルス。ファイル名は「chikan.zip」。文字置換ソフトの「置換」から付けたと思われる。このため別のソフトに見せかけたウイルスでは、ファイル名は異なると考えられる。
このファイルを展開(解凍)すると、「chikan.exe」と「data」という2つのファイルが生成される(図2)。chikan.exeが実行されると、「iesys.exe」と「cfg.dat」を生成し、iesys.exeを実行する。
このiesys.exeが、今回話題になっている遠隔操作ウイルスの実体である。cfg.datは、遠隔操作ウイルスの設定ファイル。ウイルスが命令を見に行く掲示板のURLなどが記述されている。
その後chikan.exeは、自分自身(chikan.exe)を削除するとともに、dataをchikan.exeに名前変更して実行する。新たに名前がchikan.exeとなったファイルは文字置換ソフトとして機能するので、ユーザーは、ウイルスに感染したことに気付かないという。
話題になった遠隔操作ウイルスは、現在では出回っていない。このため、このウイルスに感染する心配はほとんどない。ただし、同様の動作をするウイルスは多数出回っているので注意が必要だ。IPAでは、今回のようなウイルスに感染しないためには、基本的な心掛けと対策が重要だとしている。
具体的には、「出所の不明なファイルをダウンロードしたり開いたりしない」「安易にURLリンクをクリックしない」といった心掛けと、「使用しているパソコンのOSやアプリケーションなどの脆弱性を解消する」「ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新に保ちながら使用する」といった対策を紹介している。