トレンドマイクロ
情報提供:トレンドマイクロ(株)
ファイル感染型とも、単なるコピー機能とも異なる、別種のウイルスを生み出す機能を持ったウイルス。今回は有名な「PE_MTX」(マトリックス)に代表される。「ウイルスドロッパー」について解説します。
ウイルスを産み落とすウイルス
 |
|---|
| 【「PE_MTX.A」によるレジストリの書き換え】 図1 「PE_MTX.A」に感染すると、Windowsのレジストリの書き換えが行われ、自動的に起動するようになる。この状態になると、ウイルスドロッパー機能で生み出したウイルスのばら撒きなどが盛んに行われるようになる。 |
ウイルスは「どんどんと増殖していくもの」という印象を抱いている人は多いと思います。確かにそのとおりで、例えばファイル感染型のウイルスなら別の実行形式ファイルに感染しますし、「WORM_SIRCAM」や「WORM_BADTRANS」などの最近流行のウイルスは、メールを経由してたくさんのユーザーに被害を拡散させます。これらのウイルスに共通する特徴は、自らの「コピー」を増やしていこうとする点です。つまり、言い換えれば、同じ機能と同じ症状を持った複製を増やしていくのが、一般的なウイルスであるといえます。
これに対し、「PE_MTX」に代表される、ウイルス本体と性質や症状が若干違う、もしくはまったく異なるウイルスを感染したPCに作り出す機能を持った物が存在します。このウイルスの機能を「ウイルスドロッパー」と呼びます。
ウイルスドロッパー機能を持つウイルスはその数こそ少ないのですが、種類はファイル感染型、トロイの木馬、ワーム、VBスクリプト型、マクロウイルスと多岐にわたります。
ウイルスドロッパー機能の歴史は意外と古く、MS-DOS(PC-DOS)時代から存在します。その名も「DROPPER-2」というトロイの木馬型のウイルスで、フロッピーディスクのブートセクタにシステム感染型のウイルスを感染させます。1990年に発見されたウイルスで、フロッピーディスクに感染すると言うあたりがいかにも年代物な感じですが、「DROPPER-2」はウイルスを生成する機能しかありません。生成されたウイルスは、ワクチンソフトでは「AIR_COP」という別種のウイルスとして認識されます(これといった破壊活動は行いませんが、感染に失敗してディスクを破壊することがあります)。トロイの木馬がシステム感染型のウイルスを作成するというところがウイルスドロッパーたるゆえんです。
今も感染件数の多い「PE_MTX」
 |
 | |
|---|---|---|
| 【「PE_MTX.A」が利用する「*.scr」】 図2、3 「PE_MTX.A」に限らず、ウイルスは実行形式で感染/拡散するのが普通だ。なのに、「PE_MTX.A」は「*.scr」という見慣れないファイル形式を使っている。実はこれ、Windowsのスクリーンセーバーで、単独で実行することが可能な形式なのだ。そのほかに、MS-DOSコマンドプロンプトで使われる「*.pif」という形式も要注意だ。 | ||
最近では、前述した「PE_MTX」がウイルスドロッパーの代表格といえるウイルスです。「PE_MTX.A」、通称「マトリックス」は、発見されたのが2000年の9月で、移り変わりの早いウイルスの世界では「古い!」のですが、現在でも感染被害報告が多いことで有名です。「PE_MTX.A」は、実行形式ファイル(*.exe)への感染、バックドア型のハッキング機能、ワームの症状を持っています。このうち、ハッキング機能とワームが、「PE_MTX.A」が作成する、「WORM_MTX.A」というウイルスによって引き起こされます。
ハッキングを行う「WORM_MTX.A」の正体は、「MTX_.EXE」という隠しファイルです。レジストリに登録されるとシステムに常駐することになり、自動的にハッキング機能を持つプラグインをインストールしようと試みます。しかし、この機能にはバグがあり、実際には作動しません。
ワームの活動を行う「WORM_MTX.A」は、「IE_PACK.EXE」と「WIN32.DLL」の2種類のファイルです。ちょっとややこしいのですが、この2つのファイルサイズは「PE_MTX.A」と同じで、プログラム的には「WORM_MTX.A」に「PE_MTX.A」が感染した状態になっています。IE_PACK.EXEが実行されると、WindowsのTCP/IP通信に必要な「WSOCK32.DLL」が書き換えられ、そのPC上でメールを送信するとウイルス本体を同じメールアドレスのユーザーに勝手に送信するようになります。また、「WSOCK32.DLL」は特定の文字列、例えばトレンドマイクロ(trendmicro)の「ndmi」などを含むWebページへの通信を妨害しようとします。
ウイルスドロッパーを防ぐには
 |
 |
 | ||
|---|---|---|---|---|
| 【ウイルスドロッパーの基本的な症状】 | ||||
ウイルスドロッパー機能を防ぐには、ウイルスに感染しないことが大前提です。逆に言えば、感染した時点でウイルスは生成されてしまいます。幸いにも、現在発見されているウイルスドロッパー機能を持つウイルスはワクチンソフトで100%チェックできますので(作成される亜種も)、まずはワクチンソフトの導入からはじめましょう。もちろん、予防策として知らないファイルは実行しないという心がけも重要です。
ワームとその亜種たち
- 名称
- タイプ
- 発病条件
- 主な症状
- 具体例
- DROPPER-2
- トロイの木馬型
- ファイル実行
- ウイルスドロッパー
- ウイルスドロッパー機能しかないMS-DOSのウイルスで、ファイルを実行すると、フロッピーディスクのブートセクタにシステム感染型のウイルス「AIR_COP」を作成する。
- PE_LOVESONGDROP
- トロイの木馬型
- ファイル実行
- ウイルスドロッパー
- 「PE_LOVESONG.998」を作成する。これは実行形式ファイルの最後の998バイトを書き換える。また、特定の日付以降韓国の有名なCMソングを演奏する。
- WORM_BADTRANS.A
- トロイの木馬型
- ファイル実行
- ウイルスドロッパー/ファイル感染/ワーム/ハッキング
- 「WORM_MTX.A」を作成し、ワームとハッキングを行う。「WORM_MTX.A」に「PE_MTX.A」が感染し、複合効果をもたらす仕組みになっている。
- VBS_LOVELETTR.BG
- VBスクリプト型
- ファイル実行
- ウイルスドロッパー/メールの自動送信/メッセージの表示
- 「ラブレター」の亜種で、Windowsやシステムディレクトリにファイルを作成する。「DEMONIK.BAT」を作成し、起動時にファイル破壊を行う。
- WORM_BLUECODE.A
- トロイの木馬型
- AM10:00~11:00
- ウイルスドロッパー/ワーム/DoS攻撃
- 「WORM_BLUECODE.B」を作成する。「.A」「.B」「VBS_BLUECODE.A」が組み合わさって活動する。「CODERED.A」のようにDoS攻撃を行う。
