ウイルス対策はこれでカンペキ！　第7回　ステルス型ウイルス 明日のためのウイルス講座 トレンドマイクロ

“ステルス戦闘機”というのをご存じでしょうか? レーダーに映らないようにして飛べるというアレです。ウイルスにも同じ性質を持つものが存在します。今回は「ステルス型ウイルス」について解説します。

あるのに見えないウイルス

図1a　普通のウイルス

図1b　ミューテーション型ウイルス

図1c　ステルス型ウイルス!!

【ウイルスの隠れ方】

　以前、この連載で「ミューテーション型」ウイルスを紹介しました。これは、ウイルスが感染する際に暗号化などの方法を使い、ウイルスとしての性質と症状を保持したまま姿を変えることで、ワクチンソフトの検知機能をかわそうとするものでした。これとは違う方法でワクチンソフトの目をごまかそうとするウイルスがあります。それが、今回紹介する「ステルス型」ウイルスです。ステルス型が隠れるのに使う手法はさまざまですが、ミューテーション型と同じく暗号化によって姿を隠すこともあります。ですが、ミューテーション型が堂々と姿を現しつつ形を変えることでごまかすのに対し、ステルス型はとにかく見つからないようにやり過ごそうとする点が決定的に違います。例えていうならば、ミューテーション型は変装、ステルス型は火遁の術、水遁の術、土遁の術といったところでしょうか。いずれにせよ、見破りにくいウイルスであることは確かです。

ステルス型ウイルスの特徴

図2a　PCへの侵入	図2b　感染・活動	図2c　隠遁・ステルス!!
【ステルス型ウイルスの所業】

　ステルス型ウイルスと普通のウイルスの違いは隠れるか隠れないかだけで、感染方法や症状などに違いはありません。つまり、ウイルスの分類というよりはウイルスの症状(性質)の1つと言ったほうがしっくりくるかもしれません。

　狭義としてのステルス型ウイルスは「ワクチンソフトで検出されない」というものですが、広義には単純に「発見しにくい」ウイルスも含まれます。その前提で区分すると、

1. ワクチンソフトには引っかからないが、ユーザーにはわかる
2. ワクチンソフトには引っかかるが、ユーザーにはわからない
3. ワクチンソフトにもユーザーにもわからない

の3つがあります(当たり前のようですが)。

　まず簡単なのが(2)で、これはワクチンソフトが導入されているならば感染以前に侵入すらできませんから、それほど心配はいりません。そもそも、ウイルスに引っかかったかどうかは、ユーザーにはわかりにくいわけですから、これも問題はないでしょう。(1)は逆にワクチンソフトにはわからないのにユーザーにはわかるというケースです。ワクチンソフトの基本的なウイルス検出方法は、パターンファイルを利用した総当りチェックなので、これをステルス機能でかわされると発見できないわけです。ちなみに、「ユーザーにわかる」という状態は、「タスクマネージャ」を起動した際に「アプリケーション」か「プロセス」のどちらかにウイルスの実行ファイルが表示されている状態を指します。頭隠して尻隠さずといったところでしょうか。

　問題なのは(3)です。どうやっても検出できないわけですから正直言えばお手上げ状態です(実際には何度かワクチンソフトでチェックすれば、よほどでなければ検出できると思いますが)。凶悪なウイルスの場合、知らないうちにPCがオシャカになってしまうでしょう。逆にトロイの木馬などだと感染したことに気がつかずに延々と情報を流出し続けることになるかもしれません。

　もし、PCの動作がおかしくなったのにワクチンソフトで何も引っかからない、という不自然な状況になったら、OSをセーフモードで起動してみましょう。起動時に自動実行するタイプのウイルスでなければ再起動した時点でウイルスの発病は収まりますし、自動実行型であっても、セーフモードでは自動実行されないはずです。この際に怪しいエラーメッセージが出たら、該当するファイルをチェックしてみることをお勧めします。

図3、4　前回も紹介したBackOriffice 2000だが、サーバ側のプログラムはステルス型の特徴を持っている。つまり、感染したPCでトラブルが起こっても、BackOrifficeが動作していることはわからないわけだ。この状態で遠隔操作されてワクチンソフトを終了させられたらはっきりいってお手上げだ。

　また、ステルス型ではありませんが、以前紹介した「CODERED」のように、メモリにのみ感染するタイプに対しても再起動は効果的ですので、PCが不調なときはぜひ試してみましょう。ただし、「autoexec.bat」の記述と起動時に自動実行されるサービスをチェック(変更されていないかを確認)してからというのが前提です。これは再起動時にHDDのデータなどを消去するように細工しているケースを未然に防ぐためです。

• 【関連記事】ウイルス対策はこれでカンペキ！　第6回バックドア「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第5回ミューテーション型ウイルス「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第4回　ウイルスドロッパー「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第3回　ワーム「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第2回　トロイの木馬「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第1回　ダイレクトアクション・ウイルス「明日のためのウイルス講座」
• 【関連記事】トレンドマイクロ「ウイルスバスター2003 リアルセキュリティ」レビュー
• 【関連記事】トレンドマイクロ「ウイルスバスター2002」レビュー
• 【関連記事】ウィルス対策／ネットワーク管理レビューインデックス
• 【関連記事】トレンドマイクロ「Trend Micro GateLock X200」レビュー
• 【関連記事】TA／ルータ／無線LANレビューインデックス
• 【関連記事】ASCII24「新種ウイルス『W32/Nimda』の感染が急速に拡大」ニュース
• 【関連記事】ASCII24「トレンドマイクロ、“Nimda”ワーム対策ページを主要ISPサイト上などに増設」ニュース

(アスキー PC Explorer編集部・田代 靖裕)