フィンランドF-Secureは現地時間6月29日,米Microsoftや主なアンチウイルス・ベンダーのサイトへのアクセスを遮断するウイルス*(トロイの木馬)「Fantibag.B」を警告した。パケット・フィルタリングによりアクセスを遮断することが特徴。同ウイルスを実行すると,修正パッチの適用やパターンファイル(ウイルス定義ファイル)の更新ができなくなる。
*ここでは,「悪質なプログラム(malware)」という意味で「ウイルス」という言葉を使っています。Fantibag.Bには感染機能はないので,正確には(狭義の)ウイルスではありません。トロイの木馬に分類される悪質なプログラム(広義のウイルス)の一種です。
パソコンのホスト・ファイル(hosts file)を書き換えて,特定サイト(セキュリティ・ベンダーなどのサイト)へアクセスさせないようにするウイルスは少なくない。具体的には,アクセスさせたくないホスト名(例えば「windowsupdate.microsoft.com」)のアドレス解決をすると,localhost(127.0.0.1)を返すようにホスト・ファイルを書き換える。
しかしながら,Fantibag.Bは異なる手法でアクセスを遮断する。ネットワーク・インタフェースの設定を変更して,特定サイトへのパケットをフィルタリングすることでアクセスを遮断する。F-Secureでは,今回の手法を「a new trick」としている。また,米SANS Insituteでは,「実際のトラフィックを遮断しているので,検出したりトラブルシューティングしたりすることが(ホスト・ファイルを書き換えられる場合に比べて)より困難である」としている。
◎参考資料
◆Packet filtering trojan(フィンランドF-Secure)
◆Fantibag.B(フィンランドF-Secure)
◆Fantibag.B(日本エフ・セキュア)
◆Packet-Filtering Malware(米SANS Institute)
(勝村 幸博=IT Pro)
