情報処理振興事業協会(IPA)セキュリティセンターやアンチウイルス・ベンダー各社は11月27日,「Badtrans.B」ウイルスを警告した。「Nimda」や「Aliz」ウイルス同様,Internet Explorer(IE)のセキュリティ・ホールを悪用するため,OutlookやOutlook Expressを使用している場合には,メールを開いたりプレビューしたりするだけで,ウイルスが実行される恐れがある。

 メールの添付ファイルとして送られてくる同ウイルスを実行すると,メール・ソフトに保存されている未読メールの返信として,ウイルス自身を添付したメールを勝手に送信する。併せて,キーボード入力すべてを記録して,外部へメール送信する“トロイの木馬”プログラムをインストールする。

セキュリティ・ホールを突く“変種”

 先日発見された Aliz ウイルス同様,Badtrans.B も国内で大きな被害をもたらしている。IPAセキュリティセンターには11月27日夕方の時点で,相談を含めた発見被害の届け出が115件寄せられている。「現在も増加しており,Aliz ウイルスの届け出数よりも多くなる可能性がある」(IPAセキュリティセンター)。

 アンチウイルス・ベンダーへの報告も同様である。例えば,シマンテックでは「11月27日午前8時の時点で,国内では50件,ワールドワイドでは1780件の報告があった。それが,11月28日午後2時には国内303件,ワールドワイドで5550件になっていた。報告の“増加率”としては,Nimdaウイルス並みである」(シマンテック Symantec Security Response マネージャ 星澤裕二氏)

 Badtrans.B は,2001年4月ごろに発見された「Badtrans」ウイルスの変種である。現在の変種は,オリジナルのウイルスを,IE のセキュリティ・ホールを突くように改変したものである。被害を大きくしている原因は,「オリジナルと異なり,添付ファイルをクリックしなくても実行されてしまうためと考えられる」(トレンドマイクロ)。実際,トレンドマイクロには,オリジナルのBadtransウイルスについての報告はわずか13件であるのに対して,Badtrans.Bについては121件寄せられている。

ウイルスを撒き散らすともに,キー入力情報を盗む

 ウイルスが実行されると,ウイルス自身を添付したメールを勝手に送信するとともに,ユーザーのキーボード操作を記録して盗むようなプログラムを仕込む。詳細についてはアンチウイルス・ベンダー各社が解析中であるが,現在明らかになっている発病挙動は以下の通り。

 ウイルス・ファイルを実行すると,「Kernel32.exe」「kdll.dll」「cp_25389.nls」のファイルがインストールされてしまう。「Kernel32.exe」はウイルス自身,「kdll.dll」はユーザーのキーボード入力を記録するプログラム,「cp_25389.nls」はその記録を保存するファイルである。

 「Kernel32.exe」はMAPI(Messaging API)を利用して,メール・ソフトの受信トレイに保存されているすべての未読メールの返信として,ウイルス自身を添付したメールを送信する。加えて,マシンに保存されているHTMLファイルに書かれているメール・アドレスへも送信するようである。

 同時に,キーボード入力が記録された cp_25389.nls を,複数のある特定のメール・アドレスへ送信する。これらのアドレスが現在でも有効かどうかについては不明であるという。

 Kernel32.exe はメモリーに常駐して,「ある一定の時間間隔でメールを送信している」(シマンテック 星澤氏)という。ウイルスが実行された時だけで動作するのではない。さらに,マシンを起動するたびに同プログラムが実行されるようにレジストリを改変するので,ウイルス感染に気付くまでは,延々とウイルスを送信し続けることになる。ただし,一度送信したアドレスには再び送信することはない。

 なお,ウイルスのファイル名や,添付されたメールの件名などは複数のパターンからランダムに決められる。詳細については,IPAやアンチウイルス・ベンダー各社の公開情報を参照してほしい。

Nimdaで懲りていないユーザーが被害に遭う

 IEのセキュリティ・ホールを突く以外には,既存のウイルスと大きな違いはない。そのため,セキュリティ・ホールをふさぎ,ウイルス対策ソフトを適切に使用していれば,Badtrans.B ウイルスの被害に遭うことはない。具体的には,IE 5.1 SP2/5.5 SP2/6(最少構成以外)のいずれかにバージョン・アップすれば,勝手に実行されることはなくなり,最新のデータ・ファイルを使用していれば,確実に検出される。

 それにもかかわらず,Alizおよび今回のBadtrans.Bの被害が続出しているところを見ると,Nimdaの教訓はまったく生かされていないようである。

 「Nimdaの被害に“たまたま”遭わなかったユーザーが,AlizやBadtrans.Bの被害に遭っている」(IPAセキュリティセンター)

 今後,同様にIEのセキュリティ・ホールを突くウイルスはさらに増加すると考えられる。「悪用方法が明らかとなっているセキュリティ・ホールを突くように,既存のウイルスを改変することは比較的容易だ。同様の変種あるいは新種ウイルスが登場する可能性は非常に大きい」(シマンテック 星澤氏)

 ウイルス対策を施していないユーザーが,ウイルス被害に遭わないでいられる可能性は小さくなる一方である。ウイルスがこれだけまん延している現状においても,いまだに「自分だけは大丈夫」とタカをくくっているユーザーは多いようだ。被害は自分だけにとどまらない。きちんと対策を施してもらいたい。

◎参考資料
「W32/Badtrans」ウイルスの亜種に関する情報(情報処理振興事業協会セキュリティセンター)
W32.Badtrans.B@mm(シマンテック)
WORM_BADTRANS.B(トレンドマイクロ)
W32/Badtrans@MM(日本ネットワークアソシエイツ)

(勝村 幸博=IT Pro編集)