1    ワーム型ウィルスに感染したとき 更新日時： 2004/05/26  　ここ最近　リカバリ（再セットアップ）という言葉をチャットの中で耳にします。PCそのものが調子悪くて、工場出荷時に戻す必要があるときにする手段であることをわかって言っているのかが不思議な時があるので、ここに書いておきます。   　まずそれ（再セットアップ）をする前に、PCの不調の原因が何であるかを特定して、もしウィルス（ワーム型）が原因でOSが2000 XPであるなら再セットアップをしても直りません。通常のウィルスはノートン、トレンドマイクロ等が入っていれば自動削除しますが、もしウィルスがワーム型の時は自動削除できないので手動で削除する必要があります。ここ最近のウィルスは殆どがこのワーム型でウィルスがレジストリを書き換えてしまうことが多いのです。   　何故2000 XPでは再セットアップで直らないかと言うと、2000 XPには自動復元機能というのがあり、ウィルスが無い時まで遡ってもレジストリまで入り込んでいる為に、自動復元機能でまたウィルスが復元されてしまうからです。   　ワーム型もかなりの種類、亜種がありそれぞれが違いますので、もし感染したかもしれないと思ったら、自分が入れているセキュリティソフト（ノートン、トレンドマイクロ等）のHPで削除の手順を見て削除してから　それでも直らない様なら、どこが原因なのかを探る必要があると思います。

2    手動によるワーム型ウィルスの除去手順の一例 更新日時： 2004/05/21  　駆除ツールを使用することなく、手動によってワーム型ウィルスの感染を除去することも可能です。以下の手順は、Symantec AntiVrus および Norton AntiVirus 製品シリーズの場合の一例です。セキュリティーソフトによって違いますので　導入してあるソフトのホームページから該当するウィルスの削除方法のページを参照してください。これはウィルスがW32.Beagle.U@mm の場合です。   1 システムの復元機能を無効にします（Windows Me/XP の場合）。   2 ウイルス定義を最新版に更新します。   3 システム全体のスキャンを実行し、ワーム型ウィルス として検出されたファイルをすべて修復します。   4 レジストリに追加された値を削除します。     この中で何故システムの復元機能を無効にしなければいけないかを参考までに貼り付けておきます。   Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。   Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。   また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。   システムの復元機能の概要:   システムの復元機能は Windows XP の新機能で、システムや一部のアプリケーションに加えられた変更を監視することによって、復元ポイントと呼ばれるシステムのバックアップを作成します。この機能は、以前の状態にシステムを復元するという点では Windows NT/2000 の「前回正常起動時の構成」と類似していますが、「前回正常起動時の構成」が最後にシステムが起動していた状態にしか復元できないのに対して、過去に作成した復元ポイントの中から選択してシステムを復元できるという点で大きく優れています。また、復元ポイントは自動的に作成されるだけではなく、必要に応じて手動で作成することもできます。   ウイルスがシステムに感染した場合は、ウイルスを駆除する前にシステムの復元機能を無効にする必要があります。システムの復元機能が有効になっていると、ウイルスに感染したファイルがシステムの復元によってバックアップされてしまう可能性があるためです。システムの復元でバックアップされたファイルは他のアプリケーションから修正することができないため、ウイルススキャンでバックアップフォルダ内に発見されたウイルスを修復できなかったり、ウイルス感染ファイルがシステムの復元によって復元されてしまう可能性があります。

3    山田ウィルスをご存知ですか？ 更新日時： 2005/05/21  　ウィルスについてトピックスがでていましたので　全てを読んでいただきたいと思い　そのまま貼り付けておきます。分かりやすいように太字・赤字で気をつけた方がいいところは表示してあります。 　 　ここでは２ちゃんねるです　数字から見ても分かるように　同じ人が100回平均で書き込んでいますが、たぶん感染してるのを文中でも指摘しているように本人は知らないのでしょう。 　ウィルス・スパイウェアなど外敵はいっぱいいます。自分のPCは自分で守るように　最低限のセキュリティーに関する知識は持っていただくようにしてもらいたいと思います。 亜種も登場、まだまだ2ちゃんねるを荒らし続ける「山田ウイルス」のその後 　先日掲載された、通称「山田ウイルス」に関する記事は、このマルウェアに対する注意を引き起こす効果はあったようだが、まだ事態は収束していないようだ。 　あれから三週間が経過した現在もなお、このウイルスが2ちゃんねるの多数の板を荒らしている状況は変わらない。前回よりも具体的なデータ数を加えて、再度警鐘を鳴らしたい。 ●いまだ減らない感染PC 　まず、今までの流れを簡単に説明しておこう。 　通称「山田ウイルス」は、トロイの木馬に分類されるマルウェアだ。オリジナルと見られるファイルは、5月10日にとあるアップローダに掲載された。これについては、トレンドマイクロの詳細情報ページが詳しい。なおシマンテックはこれを一般的な「Backdoor.Trojan」に分類しており、詳細データはない。 　本体は「見かけをフォルダアイコンに偽装した実行ファイル」だ。フォルダに見せかけることで、ファイルサイズが大きくてもユーザーが疑いを持ちにくいようにしていた。ただし、オリジナルが登場したアップローダの最大容量は5MBまでとなっていたためか、オリジナルのファイルサイズは4MB強と比較的小さい。 　筆者は実際に試してはいないが、このマルウェアが実行されると、以下の行動を取ると言われている。 　まず「3」のhostsファイルの書き換えによって、DNSの名前解決が変更されてしまう。本来ならばアンチウイルスベンダーやWindows Updateにつながるホスト名の解決が変更され、ユーザーが意図しないうちにまったく別のホストに誘導されてしまう。オリジナルでは民主党のWebサイト（210.253.211.2）へ、また亜種は社民党サイト（164.46.159.101）へと誘導するようだ。結果として、Windowsのパッチ適用やウイルス対策ソフトの更新を妨げ、セキュリティを低下させるものだ。 　また「4」と「6」はペアになった行動で、自らスクリーンショットを取り、Webサーバを立てて公開する。そして、自分自身を示すURLを2ちゃんねるに書き込むのだが、残念ながら多くの場合、ユーザーはサーバの公開に気づかない。ただし、プライベートアドレスが指し示されるなどして、幸いにして公開が失敗する例も多い。 　2ちゃんねるの多くの板（カテゴリ）への書き込みは、オリジナルタイプでは21のサーバに分散している125の板の中からランダムに行うようだ（中には書き込みができない板も指定されていた）。書き込み内容は以下のようなものだった。 　こうした書き込みは現在も続いているものの、2ちゃんねる側ではオリジナルも含んだ一連のマルウェアによる書き込みを阻止しており、見かけ上は収拾している。だが、実際には、毎日600程度のIPアドレスから行われる約5万の書き込みをフィルタで阻止しているだけで、見かけこそ減ったものの、活動中のマシンはまだ多いようだ。 　2ちゃんねるのフィルタのログを筆者がまとめてみたところ、以下のようになった。 日時 書き込み元IPアドレス数 書き込み数 5/06 5/07 5/08 5/09 5/10 5/11 5/12 5/13 5/14 5/15 5/16 5/17 500 610 530 510 500 500 520 510 550 590 490 480 48700 56100 55700 47000 49200 52400 49100 52700 55900 57300 48800 44100 　ゴールデンウィークの終了とともに書き込みは減っているものの、相変わらず500以上のIPから書き込みが行われていることが分かる。これは、多くのユーザーが感染に気づかずにアクセスしていることを意味する。 　トレンドマイクロの情報によれば、TROJ_MELLPON.Aは「危険度：僅少、感染報告：低」となっているが、亜種も含め、現在なおそれなりの数のマシンが感染していることが分かる。 ●アンチウイルスソフトでは不十分 　少なくない数のPCが山田ウイルスに感染したままになっている理由として、このマルウェアおよびその亜種は、「アンチウイルスソフトでは完全には検出できない」という点が挙げられる。 　以前の記事でも言及したが、山田ウイルスは再感染能力を持たず、感染元となるトロイの木馬本体のファイルは見つけにくい。また、過去に見つかっている亜種のうち1つのファイルサイズは巨大で、通常のアンチウイルスソフトベンダーへの検体提供手段では送付が困難だ（ちなみにこれまでの検体は、有志の手によってアンチウイルスベンダーにCD-Rで提供された。また筆者もできる範囲で収集した検体を提供している）。 　つまり、アンチウイルスソフトベンダーが十分な検体入手が行えず、結果としてパターンファイルの提供もされず、ユーザー側で検出できないという状態になっている。また、少なくとも既存の山田ウイルスは、いったん感染するとアンチウイルスソフトのアップデートを妨げるため、後日スキャンしたとしてもあまり意味をなさない。 　2ちゃんねるサイドでも万全な対応を行えない状況のようだ。もともと2ちゃんねるでは、特定メッセージを大量に投稿する「コピペあらし」がしばしば発生しており、こうした行為への対応は比較的迅速だった。したがって前述のとおり、山田ウイルスによる書き込みの阻止はフィルタによって比較的容易に行えていた。 　だが最新亜種では、投稿の内容をランダム化することで「対策」への「対応」を行っているようだ。その結果、最近では山田ウイルス亜種による2ちゃんねるへの投稿が再び目立つようになった（ちなみに先の表は、フィルタリングされたオリジナルによる書き込み数を元にしたものであり、亜種によるランダム投稿は含まない）。 　ランダム文字列を用いた書き込みは、以下のような感じになる。 　このように、亜種は「ｗｗｗ」「うぇ」「おｋ」や「ぷぷぷ」といった意味のない文字列をランダムに組み合わせて書き込むようになっており、2ちゃんねるが用意した投稿フィルタをすり抜けているようだ。なお、ここで挙げた書き込みでは、IPを元に生成された「ID」がすべて異なっているが、これは、各投稿がそれぞれ別のIPアドレスから行われていることを意味する。 　トレンドマイクロは5月18日現在、「TROJ_MELLPON.A-N」のパターンを提供している（パターンファイル「2.631.00」にてTROJ_MELLPON.H/I/J/L/Nに対応）。TROJ_MELLPON.Aは「危険度：僅少／ダメージ度：小」という評価だったが、TROJ_MELLPON.B／D／E／Fでは「ダメージ度：中」、TROJ_MELLPON.Lでは「ダメージ度：高」という評価になっている。 　2ちゃんねるサイドも先のランダム亜種が行う書き込みに対するフィルタを強化したようで、上記のような「よくわからない投稿」を目にするケースは明らかに減っている。 　だが、それは対処療法にすぎない。かつてMS Blast（Blaster）やCode Redといったウイルスが猛威を振るった後、多くのマシンで対処がなされた。それでもなおこれらのワームが吐き出す攻撃パケットは、インターネット上のトラフィックとして少なからず残ったし、現在も継続している。山田ウイルスの場合も同じように脅威が継続していると言えるだろう。 ●怪しいファイルやフォルダは実行しない 　手元のPCが山田ウイルスに感染しているかどうかを確認する方法はいくつかある。 　まずWebブラウザで「http://127.0.0.1/」、つまり自分自身にアクセスし、反応があるかどうかを確認するという手段が一般的だ。大抵のマシン、特に自宅で利用しているPCの場合、httpサーバを実行しているケースは少ないため、上記のアドレスにアクセスしてもエラーになるはずだ（IEの場合は「ページが見つかりません」と表示される）。 　より確実にチェックを行うならば、Windows 2000／XPの場合はコマンドプロンプトから「netstat -a」を実行し、httpのLISTENING表示がないか確認するのがよいだろう。もしこうした文字列があれば、Webサーバの類が動作していることになる。 　ただし、ルータやパーソナルファイアウォールを適切に使っている場合、PC上でWebサーバが起動していたとしても外部には公開されず、2ちゃんねるへ書き込みがなされるという以外の被害はない。誰かが書き込み中のURLをクリックしてアクセスを試みたとしても、PCの内容をのぞかれるという最悪の事態までは免れる、ということだ。 　また山田ウイルスへの対症療法ということになるが、アウトバンド通信の監視が可能なパーソナルファイアウォールソフト、もしくはWebフィルタリングソフトを通じて、山田ウイルスによる2ちゃんねるへの書き込みを監視するといった手法もある。 　ただ、亜種によってはパーソナルファイアウォールソフトの動作を停止させるものが存在するようだ。 　以下の方法もマルウェア全般のチェックに有効だろう。 ・アンチウイルスソフトの詳細画面を見て、パターンファイルの日付をチェックする。インターネットに接続しているのにパターンが古い場合（現在トレンドマイクロの「ウイルスバスター」は米国時間の月、水、金、シマンテックの「ノートンアンチウイルス」は木曜日に定例アップデートを行い、それ以外にも緊急リリースが行われている）は、何らかのトラブルがあるものと思われる。 ・「C:\WINDOWS\system32\drivers\etc\hosts」（Windows XPの場合）をチェックし、怪しげなリストがないことを確認する。 ・レジストリ(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run）に怪しげな項目がないか確認する。 この項目はソフトウェアのインストールによって増えることもあるため、問題のない平常時の項目を知っておく必要がある。 　なお山田ウイルスの場合、svchost.exeの名前を偽装に用いている（亜種では別の名称である可能性もある）。上のレジストリからsvchost.exeが呼びだされる可能性は少ないため、まずsvchost.exeの位置を確認し「C:\WINDOWS\system32\svchost」以外のものを指定している場合はただちに対応する必要があるだろう。 ・スタートアップフォルダ「スタート→プログラム→スタートアップ」の中に見覚えのないショートカットやプログラムがないか確認する。このときは名称やアイコンで判断せず、プロパティを見てリンク先を確認する必要がある。 　起動時に常駐するタイプのマルウェアは、レジストリもしくはスタートアップを悪用して実行されるものが多い。なお、山田ウイルス亜種の中にはレジストリではなく、スタートアップを利用して起動するものも発見されている。 　一連のチェック作業は普段から習慣付けておくとよいが、何よりも大切なことは「怪しげなファイルは実行しない」ことだ。 　特に、見かけをフォルダや圧縮ファイルのように偽装するマルウェアは多い。出所の怪しいところからファイルやフォルダを入手したとしてもすぐにダブルクリックはせず、右クリックメニューから「開く」を行うよう習慣付けるのもよいだろう。プログラムの場合は「開く」の下に「別のユーザーで実行」メニューが、フォルダの場合は「エクスプローラー」メニューが表示されるため、これで違いに気づくこともできる。 　もう1つ、アンチウイルスソフトは新種のマルウェアに関して万能ではないということは、頭の片隅に入れておくことも重要だ。「完全スキャンしてもウイルスは見つからないから安全」とは言い切れない。つい先日明るみになった価格.comのWebサイトを経由して広がったウイルスのケースからも分かることだ。 http://www.itmedia.co.jp/enterprise/ （ITmediaエンタープライズ） - 5月21日11時11分更新 　感染をしてないにこしたことはありませんが、もし２ちゃんねるにアクセスをしている方でしたら　一度ご自分のPCをチェックしてみてください＾＾

4    間が抜けた騙りのメールｗ 更新日時： 2005/05/22  　次のようなメールが届いたのですが、一見ヤフーからの連絡と勘違いして　ファイルを調べてもウィルスも無かったので　見たのですがｗ　中身が０バイトで何もありませんでしたｗ　さすがに０バイトでは何もありませんし　どんなに小さなものでも０バイトでは作れませんｗ 　しかし＠マーク以降のアドレスが　ybb.ne.jp　これはヤフーBBの会員しか使えませんので　＠マーク以前の　info　というHNを持った人のいたずらと分かります。 From: info@ybb.ne.jp Subject: Notice:***Your email account will be suspended*** Date: Wed, 18 May 2005 07:55:23 +0900 To safeguard your email account from possible termination, Please follow the instructions in the attached file. ファイル名： document.zip ファイルの種類： application/octet-stream スキャン結果： ウイルスは見つかりませんでした。 　メールの整理をしていて　用件がメールの一時停止でしたので　ついでだからとBBのテクニカルサポートセンターに電話をして確認をしたのですが　BBもヤフージャパンもこういう形では送らないということが確認できました。 　ちなみに　ヤフーBBのインフォメーションからの場合のアドレスは　ybbinfo@bbtec.net ですし本文には英語を使いません。 　内容が騙りですので　ウィルスはありませんが、貼り付けておきます。　しかし。。。間が抜けた騙りだなｗ　いったい何をしたかったのか？ｗｗ　／（ ．― ．）＼ はて？

Copyright(C) 2004, 2005 masaki All Rights Reserved.