アンチウイルス・ベンダー数社は7月20日,メールで感染を広げるウイルス「Sircam」を警告した。感染対象はWindowsマシン。ウイルス自身がメール送信機能を持つので,使用しているメール・ソフトによらない。添付ファイルのウイルス・プログラムを実行すると,アドレス帳に限らず様々なファイルから収集したメール・アドレスへウイルス自身を送信して感染を広げる。加えて,ファイルの削除なども行う。アンチウイルス・ソフトのほとんどは最新のデータ・ファイル * で対応済み。また,シマンテックは7月23日,Sircamを駆除するためのツールを公開している。
* ここではウイルス対策ソフトがウイルス検出に使う,各ウイルスの特徴を収めたデータベース・ファイルを指す。ベンダーによって,「ウイルス定義ファイル」や「DATファイル」,「パターン・ファイル」などと呼び名が異なる。
感染を広げる際にSircamウイルスは,マシン内のファイルをランダムに選択して,ウイルスに“埋め込む”ことが特徴。つまり,ほかのユーザーに送られるウイルス・ファイルは「ウイルス本体」と「選択されたファイルの内容」を組み合わせた1つのファイルとなる。
メールの本文は,「Hi! How are you?」あるいは「Hola como estas ?(スペイン語)」で始まり,それ以降は用意された4種類からランダムに選択されたテキストが挿入される。ウイルス・ファイル名とメールの件名は,埋め込まれたファイル名に,実行形式であることを示す拡張子(EXE や COM など)を付けた名称となる。埋め込まれたファイルが例えば「word.doc」の場合には,「word.doc.exe」などとなる。そのため,ファイル名やアイコンに注意すれば,ウイルスであることは容易に分かる。
しかしながら,実行されるとウイルス本体は,埋め込まれたファイルの拡張子に従ったプログラム(例えば,ウイルス・ファイル名が「word.doc.exe」の場合には,Microsoft WordあるいはWordpad)を呼び出し,埋め込まれたファイルの内容を表示させる。そのため,ユーザーには正しいファイルに思えてしまう。また,ユーザーを欺くだけではなく,重要なファイルを外部へ送信してしまう恐れがあることも,大きな問題である。
表示している“裏”で,ウイルスは実体部分を「C:\Recycled(ごみ箱)」フォルダなどにコピーする。そして,Windows の起動時,およびほかのプログラムが起動されるたびに,ウイルスが実行されるようにレジストリを変更する。
ウイルスは実行されるたびに,ウイルス自身を添付したメールを送信する。このときのあて先も特徴的である。多くのウイルスがメール・ソフトのアドレス帳に書かれたあて先へ送るのに対して,同ウイルスではそれ以外のファイルからもメール・アドレスを収集する。具体的には,「sho*.」,「get*.」, 「hot*.」, 「*.htm」ファイル,および「*.wab(Windows Address Books)」ファイルから収集する(ここで,「*」は任意の文字列を表す)。
そのため,「例えば,メール・アドレスが書かれたWebページを閲覧した後にウイルスを実行してしまうと,キャッシュされているHTMLファイルからアドレスを拾ってウイルスを送信する」(シマンテック SARCジャパン マネージャ 星澤裕二氏)。アドレス帳だけを参照するウイルスと異なり,まったくの他人に送信してしまう可能性がある。
メールで感染を広げるだけではない。実行時に33分の1の確率でC:\Recycledフォルダに「Sircam.sys」ファイルを作成し,ディスク容量が一杯になるまでそのファイルに無意味なテキストを挿入する。また,毎年10月16日に20分の1の確率で,Cドライブ中のすべてのファイルを削除する。ただし,ファイル削除については,日付フォーマットを欧米式の「D/M/Y(日/月/年)」にしている場合のみ起こる。
以上のように,いくつか特徴があるSircamウイルスであるが,いずれも新しいものではない。同様の特徴を持つウイルスは過去に発見されている。多くの被害報告が寄せられているというシマンテックでも,「ある特徴が原因で広まったというより,偶然広まったものと考えられる」(星澤氏)。
なお,星澤氏によれば,「Sircam がウイルス・メールを送信する際には,ある特定のメール・サーバーを使用しており,現在ではこのサーバーが閉鎖された可能性が高いので,以後感染が拡大する恐れは少ないだろう」という。とはいえ,同様の特徴を持つウイルスが今後も登場する可能性は十分にある。ファイルの拡張子がすべて表示されるように設定した上で,ファイル名やアイコンを確認するなどの注意が必要である。
◎参考資料
■[シマンテックの公開情報]
■[トレンドマイクロの公開情報]
■[日本ネットワークアソシエイツの公開情報]
