コンピュータ・ウイルスの届け出先機関である情報処理振興事業協会セキュリティセンター(IPA/ISEC)は5月14日,電子メールで感染を広げる新種ウイルス「Fizzer」を警告した。5月14日午前11時40分の時点で44件の発見報告が寄せられ,うち3件が実際に被害を受けたという。
Fizzerを実行すると,Fizzerを添付したメールを送信させられる。さらに,「キー入力を記録する」「バックドアを仕掛ける」「ウイルス対策ソフトを停止する」――といった“機能”も持つ。ただし,Fizzerを実行しなければ被害に遭うことはない。また,ほとんどのウイルス対策ソフトでは対応済みである。最新のウイルス定義ファイルにアップデートしていれば検知できる。
Fizzerの情報は,5月12日の時点でIPA/ISECの「新種コンピュータウイルス情報」ページにまず掲載された。その後,Fizzerの発見報告が増加しているために,IPA/ISECのトップページの「緊急対策情報」に掲載された。ある企業からの報告では,360通ほどのFizzer添付メールが送られてきたという。アンチウイルス・ベンダー各社もFizzerの危険度を引き上げている。例えばシマンテックでは,5月12日に危険度を「2」から「3」へ引き上げた(最悪の危険度は「5」)。
“多機能”なFizzer
Fizzerはメールで感染を広げる。Fizzerを実行すると,パソコン内のアドレス帳などからメール・アドレスを収集し,そのアドレスすべてにFizzerを添付したメールを送信する。メールの件名や本文,添付ファイル(Fizzer)名は,Fizzerが持つリストからランダムに選択する。差出人アドレスは詐称することがある。Fizzer自身がメール送信機能を備えるので,使用しているメール・ソフトによらず,ウイルス・メールは送信される。
ファイル共有ソフト「KaZaA」も利用する。具体的には,FizzerをKaZaAの共有フォルダにコピーする。Fizzerを実行したユーザーがKaZaAを使用している場合には,他のKaZaAユーザーがFizzerを“共有”する恐れがある。
さらに,常駐しているウイルス対策ソフトのプロセスを終了させる。具体的には,SCAN,TASKM,VIRUS,F-PROT,VSHW,ANTIV,NMAIN――の文字列を含むプロセスを終了させようとする。ただし,Fizzerに対応したウイルス定義ファイルを使用していれば,Fizzerが動き出す前に検知できるので,プロセスを終了させられることはない。
加えて,バックドアの機能も持つ。あらかじめ設定されたIRCおよびAIM(AOL Instant Messanger)のサーバーに接続してメッセージを待ち受ける。攻撃者はFizzerにIRCあるいはAIMのメッセージとしてコマンドを送信することで,Fizzerを操作できる。
ユーザーのキー入力を記録するプログラムを生成し,実行する機能も備える。すべてのキー入力を記録し,特定のファイルに保存する。この機能とバックドア機能を組み合わせれば,ユーザーが入力したパスワード情報などを奪うことが可能となる。
基本的なウイルス対策で十分
以上のように,Fizzerは“多機能”である。しかし,Fizzerファイルを実行しない限り被害を受けることはない。また,ほとんどのウイルス対策ソフトでは,最新のウイルス定義ファイルで対応している。
つまり,「怪しいファイルは実行しない」「ウイルス対策ソフトを常駐させて使用する。ウイルス定義ファイルは絶えず最新のものを使用する」――といった,基本的なウイルス対策を施していれば十分防げる。特に慌てる必要はない。
もし感染してしまった場合には,アンチウイルス・ベンダー各社が用意する駆除ツールなどを利用する。アンチウイルス・ベンダーが公開するツールやFizzerに関する情報のURLはIPA/ISECのページに記載されている。
◎参考資料
◆「W32/Fizzer」ウイルスに関する情報(IPA/ISEC)
◆「W32.HLLW.Fizzer@mm」(シマンテック)
◆「WORM_FIZZER.A」(トレンドマイクロ)
(勝村 幸博=IT Pro)
