アンチウイルス・ベンダー各社は米国時間1月8日,Shockwave Flash(.swf)ファイルに感染するウイルス「SWF/LFM.926(SWF/LFM-926,ACTS.LFM.926,SWF_LFM.926)」を警告した。ただし,危険度は低く,感染が広がる恐れはほとんどないとしている。
SWF/LFM.926ウイルスに感染したFlashファイルを実行すると,同じフォルダ内の他のFlashファイルに感染を広げる。感染以外の発病挙動はない。対象となるプラットフォームは Windows NT/2000/XP *である。
* 「Windows NT/2000」としているベンダーもある。
ただし,スタンドアロン版のマクロメディアFlashムービーで再生した場合にのみ,ウイルスは発病する(感染を広げる)。ブラウザのプラグイン版で再生した場合には,感染しない。すなわち,Webページに埋め込まれているFlashファイルを閲覧する分には感染の恐れはなく,Webサイトなどからダウンロードしたウイルス感染ファイルを,スタンドアロン版のFlashムービーで再生した場合のみ感染発病する。
「スタンドアロン版でのみ発病する」,「感染活動以外行わない」,「プラットフォームが限定されている」などの理由から,ほとんどのベンダーでは危険度を最低に設定している。実際,多くのベンダーでは,ユーザーからの感染報告を受けていないという。なお,ほとんどのウイルス対策ソフトは,最新のウイルス定義ファイル(パターンファイル)で対応済みである。
詳細については現在解析中としながらも,シマンテックのSymantec Security Response マネージャの星澤裕二氏によると,同ウイルスは以下のように動作するという。
Shockwave Flashには,「ActionScript」というスクリプト言語がある。SWF/LFM.926ウイルスは,このActionScriptで記述されている。ウイルスに感染しているFlashファイルを開くと,Flashムービーがこのスクリプトを解釈して,「V.COM」という名前の,DOS上で動作する実行形式ファイルを作成する。作成の際には,スクリプト(ウイルス)は,ユーザー・マシン上の「CMD.EXE」および「DEBUG.EXE」コマンドを使用する。そして,スクリプトはV.COMを実行する。V.COMは,同じフォルダに存在する他のFlashファイルに,不正なActionScriptとV.COM作成に必要なデータを埋め込んで,感染を拡大させる。
つまり,ウイルスが発病するには,使用しているFlashムービーがActionScriptをサポートしており,かつ,ユーザーのマシンにCMD.EXEおよびDEBUG.EXEが存在している必要がある。ActionScriptはスタンドアロン版のムービーでのみサポートしており,プラグイン版ではサポートしていない。そのため,スタンドアロン版でのみ発病する。また,CMD.EXEおよびDEBUG.EXEが存在するWindows NT/2000/XP上でのみ発病する。
今回のウイルスは感染を広げるだけで,他の破壊活動は行わないものの,より悪質な同種のウイルスが発生する可能性はある。しかしながら,ウイルスがActionScriptを使用する限り,対象となるのはスタンドアロン版のみである。Flashウイルスが今後脅威となるかどうかについては,「スタンドアロン版のユーザーがどれだけ多いのかに依存する」(シマンテック 星澤氏)。
今回のFlashウイルスの出現により,いくつかのアンチウイルス・ベンダーは,Shockwave Flashファイル(.swf)もウイルス・チェックの対象にするよう呼びかけている。しかしながら,今やファイルの種類(拡張子)で,ウイルスに感染する可能性があるかどうかを判断することは難しくなってきている。Flashファイルに限らず,すべての種類のファイルを,チェックの対象にしておくべきである。
◎参考資料
◆SWF_LFM.926(トレンドマイクロ)
◆SWF_LFM.926(米Trend Micro)
◆ACTS.LFM.926(米Symantec)
◆SWF/LFM-926(英Sophos)
◆SWF/LFM.926(米Network Associates)
