情報提供:トレンドマイクロ(株)
ウイルスは流感のようなもので、一時的にバーっと広まるものが多いのですが、長期間流行し続けるものも存在します。今回も前回に続いて現在のウイルスを代表する「KLEZ」について解説します。
「WORM_KLEZ」の亜種は大きく分けて3タイプ
ウイルスの種類を決定付けるものは、感染方法と症状です。ウイルスは現在6万種類を超えるほどの数があるといわれていますが、中には症状が似通ったウイルスが多く存在します。症状が似ているウイルスと「亜種」を区別するのは「ウイルスの特徴的な部分」によります。この特徴的な部分というのは、ウイルスの症状よりも、ウイルスに隠された「お遊び的要素」であることが多いのです。
ほとんどのウイルスには、自身の存在を誇示するかのように製作者の名前やメッセージが記されています。そういった部分が同じものであるか、もしくは関係をにおわせるメッセージが記されているものが亜種となります。
ウイルスの正体はプログラムですから、元になるプログラムの「ソースコード」が同じならば、症状だけでなく「お遊び的な要素」も同様に似通ってきます。ソースコードが提供されていないウイルスの場合は、独自にウイルスを解析してアレンジを加えた製作者が、「これは***の亜種だ」とわざわざ明記していたりします(そうでない場合、別種のウイルスになるわけです)。
前回に引き続き解説する「WORM_KLEZ」の亜種は2002年8月現在で「I」まで確認されています(トレンドマイクロの場合)。実際は、名称変更やパターンファイルの処理の問題で統合・細分化されているだけで、大まかには3つのタイプに分類されます。
「WORM_KLEZ」
が作成するウイルスも3タイプ
KLEZとその亜種の分類。 |
前回も掲載しましたが、「WORM_KLEZ」の系列を図にすると左記のようになります。大元の「A」と派生した「B」「C」「D」(便宜上以下タイプ1)、「E」「F」と「F」から派生した「G」(タイプ2)、「G」から派生した「H」「I」(タイプ3)です。
それぞれのタイプの中での亜種の差異はほとんどありません(「A」と「B」の差がテンポラリフォルダにファイルを作成することだったり、「H」と「I」の差が、ウイルスメールの送信者名の違いだけなど)。また、タイプ別に見た場合でも大きな違いはなく、
- HTMLを表示しただけで感染する「ダイレクトアクション」タイプ
- 感染したPCのアドレス帳などからメールアドレスを盗み出してウイルスメールを送信する「ワーム」機能
- ネットワーク上の共有フォルダにウイルスを書き込む「ワーム」機能
- 稼動中のワクチンソフトを強制的に停止させる
- 「PE_ELKERN」を生成する「ウイルスドロッパー」
- ファイル破壊
などはすべて共通の症状です。
この症状が、亜種のタイプごとに異なっているわけですが、大きく異なるのは5.と6.です。「WORM_KLEZ」は「PE_ELKERN」という別種のウイルスを生成しますが、亜種ごとに生成するウイルスも異なります(ただし、これもそれほど大きな違いがあるわけではありません)。
ファイル破壊については、タイプ1は前ファイルを対象としているのに対し、タイプ2では特定の拡張子のファイルのみ、タイプ3については限られたファイルの破壊に限定されています。ちなみに、タイプ1のファイル破壊機能は、ウイルスのバグで、実際には発動しません。
KLEZとその亜種の具体例。 |
亜種は別個のウイルス
パターンファイルは最新のものを
ウイルスに対する防御策としては、どうしてもワクチンソフトの導入は欠かせません。また、パターンファイルは必ず最新の状態を保つようにすべきです。例えば、「A」には対応していても「E」には対応していないという場合、「E」は「A」の亜種ではなく、未知のウイルスとして扱われることが多いためです。そうなると、ワクチンソフトの防御機能は著しく低下します。
また、「WORM_KLEZ」はワクチンソフトの動作を停止させるため、例えば「A」を防げる環境であっても、「E」に感染すると、ほかのユーザーから「A」を送られてきたときに発病してしまう羽目になります。ワクチンソフトにはパターンファイルの自動更新機能がついているので、必ず有効にしておくべきでしょう。
KLEZとその亜種の一覧表。 |