トレンドマイクロ
情報提供:トレンドマイクロ(株)
現在猛威を振るっている.「WORM_BADTRANS.B」のように「メールを勝手に送信してしまうウイルス」が増えていますが、実は種別としては「パスワードを盗むウイルス」と同じです。今回はいろいろな顔を持つ「トロイの木馬」について解説します。
情報を勝手に持ち出すウイルス
 |
|---|
| 図 【トロイの木馬】 “トロイの木馬”は感染方法ではなく、症状(動作)による分類方法のひとつ。無害なプログラムの振りを装って入り込み、情報を盗み出す。 |
個人でも常時接続が一般的になりましたが、逆にいえばウイルスに感染する機会が増えたとも解釈できます。5万種とも6万種とも言われるウイルスは10カテゴリー程度に分類できますが、今後の常時接続時代で猛威を振るうと考えられるのが「ワーム型」と今回紹介する「トロイの木馬型」です。
前回の「ダイレクトアクション型」は「感染方法」、トロイの木馬は「症状」の分類です。流行中の「WORM_BADTRANS.B」や「WORM_GONE.A」は、ダイレクトアクション型の感染方法を持ち、トロイの木馬型の症状を持つウイルスと表現できます。
トロイの木馬には、アカウントやパスワードを盗む、ウイルスなどを持ち込む、アドレス帳を悪用してウイルスメールを送信する(メールアドレスとウイルスを持ち出す)などの症状があります。前述のWORM_GONE.Aなどは知らないうちにメールを送信してしまうため、ウイルスの添付メールを受信した人からの連絡で初めて気がつくケースも多いのです。知らないうちに迷惑をかけてしまう点が実に厄介です。
ちなみに、トロイの木馬型には「TROJ_」という接頭語が付きますが、最近はネットワーク内にウイルスを撒き散らす症状を重視し、ワーム型の「WORM_」で表されるものが増えています。ウイルスは複雑化と症状の複合化が進んでいるわけです。
ワクチンソフトでトロイの木馬が駆除できない!?
トロイの木馬は、ワクチンソフトを常駐していれば侵入した途端、発病した途端に検知されます。しかし、検疫状況を見ると、「駆除失敗」と表示されてしまいます。 トロイの木馬は、感染せず独立のプログラムとして動作します(そのため、厳密にはウイルスの「亜種」といえます)。複数の症状を持つものだと感染や破壊行為も行いますが、基本的にウイルス部分だけの駆除処理はできません。従って、トロイの木馬はファイルごと「削除」する必要があります。これは、ワクチンソフトの駆除に失敗した場合の対処方法を、「放置」から「削除」に変更することで対応できます。
また、最近はやりのウイルスについては、自動駆除ツールがワクチンベンダーから無償で提供されている場合もあります。
トロイの木馬の基本的な症状
- 名称
- 対象OS
- タイプ
- 発病条件
- 主な症状
- 具体例
- WORM_GONE.A
- Windows
- トロイの木馬型(ワーム型)
- ファイル実行
- メールの自動送信/ファイル破壊/システム感染/DoS攻撃
- OutlookやICQを通じてウイルスをばら撒く。感染者と同じIRCチャンネルを利用しているユーザーにDoS攻撃を行う。ワクチンソフト関連のファイルを削除する。ファイル感染は行わない。
- TROJ_BO2K
- Windows
- トロイの木馬型(ワーム型)
- ファイル実行
- PCをリモート操作される
- 発病したPCはサーバとなり、クライアントソフトを持つユーザーから、電源、アプリケーション、レジストリに至るすべてをリモートで操作されてしまう。
- TROJ_IIS_HACK
- Windows
- トロイの木馬型(ワーム型)
- ファイル実行
- IISのハッキング
- MicrosoftのIISのセキュリティホールを公開する意味で「eEye」というセキュリティ団体が作成した。実際にハッキングできるが、本来はウイルスではない。
- TROJ_ICQ_PWS_GEN
- Windows
- トロイの木馬型(ワーム型)
- ファイル実行
- ICQのパスワードハック
- 発病すると、ICQのアカウントとパスワードをウイルスの作者に送信してしまう。ICQをインストールしていなければ、ウイルスがレジストリに書き込まれないため発病しない。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
