ウイルス対策はこれでカンペキ！　第4回　ウイルスドロッパー 明日のためのウイルス講座 トレンドマイクロ

ファイル感染型とも、単なるコピー機能とも異なる、別種のウイルスを生み出す機能を持ったウイルス。今回は有名な「PE_MTX」(マトリックス)に代表される。「ウイルスドロッパー」について解説します。

ウイルスを産み落とすウイルス

【「PE_MTX.A」によるレジストリの書き換え】　図1　「PE_MTX.A」に感染すると、Windowsのレジストリの書き換えが行われ、自動的に起動するようになる。この状態になると、ウイルスドロッパー機能で生み出したウイルスのばら撒きなどが盛んに行われるようになる。

　ウイルスは「どんどんと増殖していくもの」という印象を抱いている人は多いと思います。確かにそのとおりで、例えばファイル感染型のウイルスなら別の実行形式ファイルに感染しますし、「WORM_SIRCAM」や「WORM_BADTRANS」などの最近流行のウイルスは、メールを経由してたくさんのユーザーに被害を拡散させます。これらのウイルスに共通する特徴は、自らの「コピー」を増やしていこうとする点です。つまり、言い換えれば、同じ機能と同じ症状を持った複製を増やしていくのが、一般的なウイルスであるといえます。

　これに対し、「PE_MTX」に代表される、ウイルス本体と性質や症状が若干違う、もしくはまったく異なるウイルスを感染したPCに作り出す機能を持った物が存在します。このウイルスの機能を「ウイルスドロッパー」と呼びます。

　ウイルスドロッパー機能を持つウイルスはその数こそ少ないのですが、種類はファイル感染型、トロイの木馬、ワーム、VBスクリプト型、マクロウイルスと多岐にわたります。

　ウイルスドロッパー機能の歴史は意外と古く、MS-DOS(PC-DOS)時代から存在します。その名も「DROPPER-2」というトロイの木馬型のウイルスで、フロッピーディスクのブートセクタにシステム感染型のウイルスを感染させます。1990年に発見されたウイルスで、フロッピーディスクに感染すると言うあたりがいかにも年代物な感じですが、「DROPPER-2」はウイルスを生成する機能しかありません。生成されたウイルスは、ワクチンソフトでは「AIR_COP」という別種のウイルスとして認識されます(これといった破壊活動は行いませんが、感染に失敗してディスクを破壊することがあります)。トロイの木馬がシステム感染型のウイルスを作成するというところがウイルスドロッパーたるゆえんです。

今も感染件数の多い「PE_MTX」

【「PE_MTX.A」が利用する「*.scr」】　図2、3　「PE_MTX.A」に限らず、ウイルスは実行形式で感染／拡散するのが普通だ。なのに、「PE_MTX.A」は「*.scr」という見慣れないファイル形式を使っている。実はこれ、Windowsのスクリーンセーバーで、単独で実行することが可能な形式なのだ。そのほかに、MS-DOSコマンドプロンプトで使われる「*.pif」という形式も要注意だ。

　最近では、前述した「PE_MTX」がウイルスドロッパーの代表格といえるウイルスです。「PE_MTX.A」、通称「マトリックス」は、発見されたのが2000年の9月で、移り変わりの早いウイルスの世界では「古い！」のですが、現在でも感染被害報告が多いことで有名です。「PE_MTX.A」は、実行形式ファイル(*.exe)への感染、バックドア型のハッキング機能、ワームの症状を持っています。このうち、ハッキング機能とワームが、「PE_MTX.A」が作成する、「WORM_MTX.A」というウイルスによって引き起こされます。

　ハッキングを行う「WORM_MTX.A」の正体は、「MTX_.EXE」という隠しファイルです。レジストリに登録されるとシステムに常駐することになり、自動的にハッキング機能を持つプラグインをインストールしようと試みます。しかし、この機能にはバグがあり、実際には作動しません。

　ワームの活動を行う「WORM_MTX.A」は、「IE_PACK.EXE」と「WIN32.DLL」の2種類のファイルです。ちょっとややこしいのですが、この2つのファイルサイズは「PE_MTX.A」と同じで、プログラム的には「WORM_MTX.A」に「PE_MTX.A」が感染した状態になっています。IE_PACK.EXEが実行されると、WindowsのTCP/IP通信に必要な「WSOCK32.DLL」が書き換えられ、そのPC上でメールを送信するとウイルス本体を同じメールアドレスのユーザーに勝手に送信するようになります。また、「WSOCK32.DLL」は特定の文字列、例えばトレンドマイクロ(trendmicro)の「ndmi」などを含むWebページへの通信を妨害しようとします。

ウイルスドロッパーを防ぐには

【ウイルスドロッパーの基本的な症状】

　ウイルスドロッパー機能を防ぐには、ウイルスに感染しないことが大前提です。逆に言えば、感染した時点でウイルスは生成されてしまいます。幸いにも、現在発見されているウイルスドロッパー機能を持つウイルスはワクチンソフトで100％チェックできますので(作成される亜種も)、まずはワクチンソフトの導入からはじめましょう。もちろん、予防策として知らないファイルは実行しないという心がけも重要です。

• 【関連記事】ウイルス対策はこれでカンペキ！　第3回　ワーム「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第2回　トロイの木馬「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第1回　ダイレクトアクション・ウイルス「明日のためのウイルス講座」
• 【関連記事】トレンドマイクロ「ウイルスバスター2003 リアルセキュリティ」レビュー
• 【関連記事】トレンドマイクロ「ウイルスバスター2002」レビュー
• 【関連記事】ウィルス対策／ネットワーク管理レビューインデックス
• 【関連記事】トレンドマイクロ「Trend Micro GateLock X200」レビュー
• 【関連記事】TA／ルータ／無線LANレビューインデックス
• 【関連記事】ASCII24「新種ウイルス『W32/Nimda』の感染が急速に拡大」ニュース
• 【関連記事】ASCII24「トレンドマイクロ、“Nimda”ワーム対策ページを主要ISPサイト上などに増設」ニュース

(編集部・田代 靖裕)