情報提供:トレンドマイクロ(株)
“ステルス戦闘機”というのをご存じでしょうか? レーダーに映らないようにして飛べるというアレです。ウイルスにも同じ性質を持つものが存在します。今回は「ステルス型ウイルス」について解説します。
あるのに見えないウイルス
図1a 普通のウイルス |
図1b ミューテーション型ウイルス |
図1c ステルス型ウイルス!! |
【ウイルスの隠れ方】 |
以前、この連載で「ミューテーション型」ウイルスを紹介しました。これは、ウイルスが感染する際に暗号化などの方法を使い、ウイルスとしての性質と症状を保持したまま姿を変えることで、ワクチンソフトの検知機能をかわそうとするものでした。これとは違う方法でワクチンソフトの目をごまかそうとするウイルスがあります。それが、今回紹介する「ステルス型」ウイルスです。ステルス型が隠れるのに使う手法はさまざまですが、ミューテーション型と同じく暗号化によって姿を隠すこともあります。ですが、ミューテーション型が堂々と姿を現しつつ形を変えることでごまかすのに対し、ステルス型はとにかく見つからないようにやり過ごそうとする点が決定的に違います。例えていうならば、ミューテーション型は変装、ステルス型は火遁の術、水遁の術、土遁の術といったところでしょうか。いずれにせよ、見破りにくいウイルスであることは確かです。
ステルス型ウイルスの特徴
図2a PCへの侵入 | 図2b 感染・活動 | 図2c 隠遁・ステルス!! | ||
【ステルス型ウイルスの所業】 |
ステルス型ウイルスと普通のウイルスの違いは隠れるか隠れないかだけで、感染方法や症状などに違いはありません。つまり、ウイルスの分類というよりはウイルスの症状(性質)の1つと言ったほうがしっくりくるかもしれません。
狭義としてのステルス型ウイルスは「ワクチンソフトで検出されない」というものですが、広義には単純に「発見しにくい」ウイルスも含まれます。その前提で区分すると、
- ワクチンソフトには引っかからないが、ユーザーにはわかる
- ワクチンソフトには引っかかるが、ユーザーにはわからない
- ワクチンソフトにもユーザーにもわからない
の3つがあります(当たり前のようですが)。
まず簡単なのが(2)で、これはワクチンソフトが導入されているならば感染以前に侵入すらできませんから、それほど心配はいりません。そもそも、ウイルスに引っかかったかどうかは、ユーザーにはわかりにくいわけですから、これも問題はないでしょう。(1)は逆にワクチンソフトにはわからないのにユーザーにはわかるというケースです。ワクチンソフトの基本的なウイルス検出方法は、パターンファイルを利用した総当りチェックなので、これをステルス機能でかわされると発見できないわけです。ちなみに、「ユーザーにわかる」という状態は、「タスクマネージャ」を起動した際に「アプリケーション」か「プロセス」のどちらかにウイルスの実行ファイルが表示されている状態を指します。頭隠して尻隠さずといったところでしょうか。
問題なのは(3)です。どうやっても検出できないわけですから正直言えばお手上げ状態です(実際には何度かワクチンソフトでチェックすれば、よほどでなければ検出できると思いますが)。凶悪なウイルスの場合、知らないうちにPCがオシャカになってしまうでしょう。逆にトロイの木馬などだと感染したことに気がつかずに延々と情報を流出し続けることになるかもしれません。
もし、PCの動作がおかしくなったのにワクチンソフトで何も引っかからない、という不自然な状況になったら、OSをセーフモードで起動してみましょう。起動時に自動実行するタイプのウイルスでなければ再起動した時点でウイルスの発病は収まりますし、自動実行型であっても、セーフモードでは自動実行されないはずです。この際に怪しいエラーメッセージが出たら、該当するファイルをチェックしてみることをお勧めします。
図3、4 前回も紹介したBackOriffice 2000だが、サーバ側のプログラムはステルス型の特徴を持っている。つまり、感染したPCでトラブルが起こっても、BackOrifficeが動作していることはわからないわけだ。この状態で遠隔操作されてワクチンソフトを終了させられたらはっきりいってお手上げだ。 |
また、ステルス型ではありませんが、以前紹介した「CODERED」のように、メモリにのみ感染するタイプに対しても再起動は効果的ですので、PCが不調なときはぜひ試してみましょう。ただし、「autoexec.bat」の記述と起動時に自動実行されるサービスをチェック(変更されていないかを確認)してからというのが前提です。これは再起動時にHDDのデータなどを消去するように細工しているケースを未然に防ぐためです。
ステルス型ウイルスとその亜種たち
- 名称
- タイプ
- 発病条件
- 主な症状
- 具体例
- PE_MAGISTR.B
- ファイル感染型
- ファイル実行
- ワーム、システム改変、ファイル破壊
- 感染した環境内で「EXPLORER.EXE」(エクスプローラの実態)を探し、コードを改変する。ファイル感染やワーム活動のほか、Windows NT系OSではNTローダーを改変してシステムの破壊活動も行う。
- PE_HPS.5124
- ファイル感染型
- ファイル実行
- ファイル破壊
- 感染した環境にワクチンソフトがインストールされているのを発見すると、そのデータを破壊しようとする。また、画像ファイルの天地を逆にしたり、ウイルスのコードを書き込むなどのファイルの改変を行う。
- BKDR_BO2K
- バックドア型
- ファイル実行
- バックドア
- BackOriffice 2000。ファイルを実行すると感染する。PCに常駐し、クライアント側からの接続を待つ。PCで実行できるすべての動作が可能になる。Windows NT系OSに対応した。
- TROJ_TAPICONF.B
- トロイの木馬
- ファイル実行
- システム監視、ハッキング
- 感染した環境のダイヤルアップ接続を逐一監視し、データのやり取りを記録して、ウイルス作者に対して自動的に送信を行う。そのため、通信中のIDとパスワードが外部に流出してしまう。