トレンドマイクロ
情報提供:トレンドマイクロ(株)
現在猛威を振るっている.「WORM_BADTRANS.B」のように「メールを勝手に送信してしまうウイルス」が増えていますが、実は種別としては「パスワードを盗むウイルス」と同じです。今回はいろいろな顔を持つ「トロイの木馬」について解説します。
情報を勝手に持ち出すウイルス
 |
|---|
| 図 【トロイの木馬】 “トロイの木馬”は感染方法ではなく、症状(動作)による分類方法のひとつ。無害なプログラムの振りを装って入り込み、情報を盗み出す。 |
個人でも常時接続が一般的になりましたが、逆にいえばウイルスに感染する機会が増えたとも解釈できます。5万種とも6万種とも言われるウイルスは10カテゴリー程度に分類できますが、今後の常時接続時代で猛威を振るうと考えられるのが「ワーム型」と今回紹介する「トロイの木馬型」です。
前回の「ダイレクトアクション型」は「感染方法」、トロイの木馬は「症状」の分類です。流行中の「WORM_BADTRANS.B」や「WORM_GONE.A」は、ダイレクトアクション型の感染方法を持ち、トロイの木馬型の症状を持つウイルスと表現できます。
トロイの木馬には、アカウントやパスワードを盗む、ウイルスなどを持ち込む、アドレス帳を悪用してウイルスメールを送信する(メールアドレスとウイルスを持ち出す)などの症状があります。前述のWORM_GONE.Aなどは知らないうちにメールを送信してしまうため、ウイルスの添付メールを受信した人からの連絡で初めて気がつくケースも多いのです。知らないうちに迷惑をかけてしまう点が実に厄介です。
ちなみに、トロイの木馬型には「TROJ_」という接頭語が付きますが、最近はネットワーク内にウイルスを撒き散らす症状を重視し、ワーム型の「WORM_」で表されるものが増えています。ウイルスは複雑化と症状の複合化が進んでいるわけです。
ワクチンソフトでトロイの木馬が駆除できない!?
トロイの木馬は、ワクチンソフトを常駐していれば侵入した途端、発病した途端に検知されます。しかし、検疫状況を見ると、「駆除失敗」と表示されてしまいます。 トロイの木馬は、感染せず独立のプログラムとして動作します(そのため、厳密にはウイルスの「亜種」といえます)。複数の症状を持つものだと感染や破壊行為も行いますが、基本的にウイルス部分だけの駆除処理はできません。従って、トロイの木馬はファイルごと「削除」する必要があります。これは、ワクチンソフトの駆除に失敗した場合の対処方法を、「放置」から「削除」に変更することで対応できます。
また、最近はやりのウイルスについては、自動駆除ツールがワクチンベンダーから無償で提供されている場合もあります。
トロイの木馬の基本的な症状
- 名称
- 対象OS
- タイプ
- 発病条件
- 主な症状
- 具体例
- WORM_GONE.A
- Windows
- トロイの木馬型(ワーム型)
- ファイル実行
- メールの自動送信/ファイル破壊/システム感染/DoS攻撃
- OutlookやICQを通じてウイルスをばら撒く。感染者と同じIRCチャンネルを利用しているユーザーにDoS攻撃を行う。ワクチンソフト関連のファイルを削除する。ファイル感染は行わない。
- TROJ_BO2K
- Windows
- トロイの木馬型(ワーム型)
- ファイル実行
- PCをリモート操作される
- 発病したPCはサーバとなり、クライアントソフトを持つユーザーから、電源、アプリケーション、レジストリに至るすべてをリモートで操作されてしまう。
- TROJ_IIS_HACK
- Windows
- トロイの木馬型(ワーム型)
- ファイル実行
- IISのハッキング
- MicrosoftのIISのセキュリティホールを公開する意味で「eEye」というセキュリティ団体が作成した。実際にハッキングできるが、本来はウイルスではない。
- TROJ_ICQ_PWS_GEN
- Windows
- トロイの木馬型(ワーム型)
- ファイル実行
- ICQのパスワードハック
- 発病すると、ICQのアカウントとパスワードをウイルスの作者に送信してしまう。ICQをインストールしていなければ、ウイルスがレジストリに書き込まれないため発病しない。
