アンチウイルス・ベンダーの米Central Commandは米国時間3月27日,WindowsとLinuxの両方で感染を広げる「Winux」 *1ウイルスを警告した。ウイルス感染ファイルを実行すると,カレント・ディレクトリとその親(上位)ディレクトリ中のWindows実行形式ファイル(PEファイル)およびLinuxの実行形式ファイル(ELFファイル)の両方に感染する。ウイルスは感染を広げるだけで,それ以外の機能は持たない。また,このウイルスはあるウイルス製作者から同社に送られたもので,一般には出回っておらず,感染例は報告されていないという。ウイルス対策ソフトの多くは最新のデータ・ファイル *2で同ウイルスに対応している。
同社ならびに各アンチウイルス・ベンダーによると,PEファイルとELFファイルの両方に感染するウイルスはこれが初めてだという。「このウイルスは内部に2つの実行コードを持つ。一つはWindows上で実行できて,PEとELFに感染するコード。もう一つは Linux 上で実行し,PEとELFに感染するコードである」(シマンテック SARC ソフトウェアエンジニアの林 薫氏)。例えば,ウイルスに感染しているELFファイルをLinux上で実行してしまい,そのカレント(あるいは親)ディレクトリにPEファイルが存在する場合には,ELFファイルからPEファイルへウイルスが感染することになる。そのPEファイルをWindowsプラットフォーム上で実行すると,プラットフォーム(OS)を超えて感染が拡大することになる。当然,逆もありうる。
実際には,ELFファイルからはELFファイルに,PEファイルからはPEファイルに感染するケースが多いだろう。しかしながら,「1台のマシンにLinuxとWindows両方をインストールしてマルチ・ブートにしていたり,両方のプラットホームからアクセスできるファイル・サーバーなどを利用している場合には,異なるプラットフォーム間で感染が広がる可能性がある」(シマンテック 林氏)。エミュレータを利用して異なるプラットフォームのファイルを実行する場合にも,感染が拡大する恐れがある。
アンチウイルス・ベンダー各社は,危険度は小さいとしながらも,同ウイルスの情報を公開している。「このウイルス自体の危険性は低いが,新しいテクノロジのウイルスが登場したことをユーザーへ警告する必要がある」(トレンドマイクロ)。「このウイルスや変種が感染を広げることはないだろう。しかし,このウイルスを叩き台にして悪質なウイルスが作られる可能性はある」(シマンテック 林氏)。
*1:ベンダーによっては「Peelf」あるいは「Lindose」と名付けている。
*2:ここではウイルス対策ソフトがウイルス検出に使う,各ウイルスの特徴を収めたデータベース・ファイルを指す。ベンダーによって,「ウイルス定義ファイル」や「DATファイル」,「パターン・ファイル」などと呼び名が異なる。
[米Central Commandが公開している情報]
[米Symantecが公開している情報]
[トレンドマイクロが公開している情報]
[フィンランドF-Secureが公開している情報]
[英Sophosが公開している情報]
[米Computer Associatesが公開している情報]
[米Network Associatesが公開している情報]
