トレンドマイクロ
情報提供:トレンドマイクロ(株)
通常、ウイルスは感染したときに自分とまったく同じ「分身」を作り出します。前回紹介した「ウイルスドロッパー」はその例外でしたが、今回も一風変わった伝染方法を持つウイルスについて解説します。
「突然変異」の名前がつけられたウイルス
 |
|---|
| 図1a 普通のウイルス |
 |
| 図1b ウイルスドロッパー |
 |
| 図1c ミューテーションウイルス |
| 【ミューテーションウイルスと、普通のウイルス、ウイルスドロッパーの違い】 |
ウイルスはいろいろな症状を持ち合わせていますが、発病したウイルスが感染する場合、ウイルス自身のコピーを増やしていくのが通常の動作です。サイズも症状も名称も同じ、これがウイルス感染の基本といえます。
前回紹介した「ウイルスドロッパー」は、感染したウイルスが、自身とはまったく別種のウイルスを作り出すものでした。例えばファイル感染型なのに、システム感染型のウイルスを作成するなどです。これは、ウイルス自身にほかのウイルスを生成する能力が備わっているからなのですが、何種類もというわけではなく、あくまでプログラミングされている、限られた種類(たいていは1種類)のウイルスのみ作成することができます。
これに対し、今回紹介する「ミューテーション型」ウイルス(ほかにもポリモフィック、ポリモルフ型などとも呼ばれます)は、また一風変わった能力を持ちます。ウイルスドロッパーのように、別種のウイルスではないものの、同じ症状を持ったウイルスを形を変えて作り出すのです。ミューテーションには「突然変異」という意味がありますが、言葉のとおり「突然変異」的にウイルスの形状を変えてしまうのです。
でも、「同じ症状を持つなら、ワクチンソフトで検知できるんじゃない?」と思われるかもしれません。そこで、ワクチンソフトの仕組みについて、おさらいしてみましょう。ワクチンソフトのウイルス検知方法には、既存のウイルスをチェックするパターンファイルを利用する方法と、まったく新種のウイルスを検知する(ワクチンソフトごとに性能と名称が異なる)機能の2つがあります。このうち、新種のウイルスを発見する機能は、だいぶ高性能化してきているものの、あまり複雑なものだと検知することができず、もう1つのパターンファイルを使った検知方法に頼っているのが実際のところです。では、パターンファイルとはどういうものかというと、これも各ワクチンベンダーごとに仕様が異なりますが、「ウイルスの特徴的なコードを記録したもの」と解釈すれば、だいたい正解です。パターンファイルとファイルを照合し、ウイルスチェックを行うわけです(そのため、ごくまれにですが、ウイルスに感染していないファイルでもウイルスコードに似た部分があると、間違って検知してしまう場合があるのです)。
 |
|---|
| 【ミューテーションする「WORM_HYBRIS」】 図2 プラグインをダウンロードして症状を増やす「WORM_HYBRIS」は、暗号化機能を持つ「半」ミューテーション型ウイルスだ。 |
再びミューテーション型ウイルスの話に戻りますが、このウイルスは前述のとおり突然変異的に姿を変えますが、困ったことに「ウイルス自身の特徴的な」部分まで変えてしまいます。ミューテーション型ウイルスの「突然変異」「姿を変える」というのは、実のところ「暗号化」のことです。暗号化してしまえば、同じ機能をもちつつ姿を変えることが出来ます。つまり、暗号化することでワクチンソフトのパターンファイルを無効化するのです。この点が生成されるウイルスもパターンファイルで対応可能なウイルスドロッパーと大きく異なる点です。さらに、形状は変わるのに症状は変わらないため、症状が深刻なウイルスであればあるほど被害が大きくなります。
ミューテーション型ウイルスへの対策
 |
 |
 | ||
|---|---|---|---|---|
| 【ミューテーションウイルスの感染経路】 | ||||
とはいえ、同じ症状を持つウイルスですから、プログラムのコードすべてが変わるわけではないので、「見つけにくい」だけで、発見が不可能なわけではありません。また、ミューテーション型機能を持つウイルス自体それほど数が多いわけではなく、既存のものであれば、ワクチンソフトを導入している環境での感染の心配はほとんどないでしょう。問題は新種ウイルスとして登場した場合の話で、こうなるとワクチンソフトをインストールしてある環境でも安全とは言い切れなくなります。また、ミューテーション型のウイルスは、実態が完全に明らかになっているものが少なく、いつ突然新症状を発病するかわかりません。また、何度かこの連載で紹介している「WORM_HYBRIS」も「半」ミューテーション型ウイルスで、プラグインを組み込む機能を持つというまれな症状を持つため、恐ろしい存在です。
とにかく、メールで送られてきたファイルは不用意に実行しない、Windows Updateで頻繁にセキュリティのパッチを適用するなど、まめな対策を地道に行うしかないでしょう。
ミューテーションウイルスとその亜種たち
- 名称
- タイプ
- 発病条件
- 主な症状
- 具体例
- W2KM_MARKER.B
- マクロウイルス
- ファイル実行
- ファイルの作成/ファイルの変更/壁紙の変更
- Word文書ファイル内の標準モジュールである「ThisDocument」内に「Auto_Close」「FileOpen」「Document_Open」「Document_Close」の4つのサブマクロを作成して感染する。
- W97M_IIS.E
- マクロウイルス
- ファイル実行
- ファイルの作成
- Word文書ファイル内の標準モジュールである「ThisDocument」内に「Document_Open」サブマクロを作成して感染する。感染と拡散のみで、悪質な破壊活動などは行わない。
- PE_JIMMY.B
- ファイル感染型
- ファイル実行
- メールの自動送信
- 感染するとPC内の実行形式ファイルを検索し、まだ感染していないファイルに対して感染した証である書名を残す。艦船と拡散のみで悪質な破壊活動は行わないとされている。
- WORM_HYBRIS.A
- トロイの木馬型(ワーム型)
- ファイル実行
- メールの自動送信/プラグインのダウンロード
- 英語/フランス語/ドイツ語/ポルトガル語のバージョンがある。ウイルス本体が暗号化されている上、複数の暗号パターンを持つ。ニュースグループからプラグインをダウンロードし実行する。
- PE_MAGISTR.A
- ファイル感染型
- ファイル実行
- メールの自動送信/不正アクセス/破壊活動
- 感染すると、デフォルトのMAPI対応メーラを使い、ウイルスをばら撒く。破壊活動を行うが、セキュリティが強化されているWindows 2000以降のOS上では機能しないようになっている。
