最近、「ホームページ経由」で、感染するウィルスが出て来ています。
ホームページのオーナーである以上、自分のページが、誰かのウィルスを媒介してしまうという可能性を絶えず持っています。その意味で、多少とも、注意を喚起しておきたいと思います。
コンピューターに関しては素人のよーのすけですので、不十分ですし、間違った知識に基づくものもあるかもしれません。そういうものに関してはぜひご指摘下さい。
Badtrance_B | ウィルスについて | 感染症状 | 感染したら | HP経由感染の仕組み | 予防策 | おまけ
■ Badtrance_Bに関する注意 ■
ウィルス名:WORM_BADTRANS.B |
タイトル: | 「Re: 」のみないし、「 Re: yECXx〓VACQuTROJ_NIMDA.Av 」といったタイトルのメールで来ます。これなら見分けが付きますが、これは、未知の人物から、つまりホームページを介してアドレスを拾った場合のこと。恐ろしいことに、一度でもメールのやりとりをした人物であれば、「Re:〈以前送ったメールタイトル〉というきわめてまっとうなメール形式で来ます。 とはいえ… |
---|---|
差出人: | 本来の差出人のアドレス頭に _(アンダーバー)がついていたり、実在しない架空のアドレスを付けてきます。 (したがって、メンバーを厳しくチェックするメーリングリストであれば、メーリングリスト経由では入ってこない、ということになります。) |
本体: | メールは本文なしの添付ファイルのみという姿をとります。 メールサイズは40KB程度。(それ以下ではない) ヘッダの文法が間違っているので、文法チェックを正しくするメーラーならば、そもそも添付ファイルを再構成(デコード)できないはず。 #再構成できないはずのファイルを再構成し て感染してりゃ、 #世話ないよね > OUTLOOK EXPRESS |
MS-IE のモジュールを利用したメーラー(OutLook Express 等)だと、NIMDA と同じように、プレビューしただけで感染します。プレビュー画面をOFFにしておきましょう。そうすれば、プレビューせずに削除できます(OEを持っていないので未確認)
MS-IE を 5.01SP2 か 5.5SP2 にバージョンアップしていれば、OE でも、プレビューでは感染しません。
また、ウィルス駆除ソフトの定義ファイル(パターンファイル)が最新であれば、検出します。
ウィルス本体は、.EXE ではなく
Content-Type: audio/x-wav; name="Humor.MP3.scr" Content-Type: audio/x-wav; name="images.DOC.pif"
などという形で、スクリーンセーバーや、DOS 実行設定として実行されます。(決して実行してはいけません。)
Windows 98 以後の、拡張子を隠すデフォルト設定だと、MP3(音楽ファイル)や DOC(文章)のファイルにしか見えないように(やや巧妙に)隠されています。
宿主のユーザのキー入力のログを取ります。パスワードの入力などを盗まれる可能性があります。一旦感染したら、駆除できても、それだけで安心しないで、そのパソコン上で入力したすべてのパスワードを変更する必要があります。
駆除方法は、こちら。
■トレンドマイクロ
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM_BADTRANS.B
■シマンテックによる無償ウィルス駆除ツールのダウンロード・ページ
http://www.symantec.com/region/jp/sarcj/data/w/w32.badtrans.b%40mm.removal.tool.html
■■■■■■■■■
最近、コンピュータの知識を持たないまま、パソコンを使っている人が増え、ウィルスをむやみに恐れるわりに、無防備である、というケースが目立ちます。そういう人のため、ホームページによって媒介されるコンピューターウィルスについて、少しばかり説明しておきます。
Badtrance_B | ウィルスについて | 感染症状 | 感染したら | HP経由の感染の仕組み | 予防策 | おまけ
一定期間は破壊活動をせず、密かにメールエンジンを通じて増殖し、感染パソコンが十分増えたところで、どかん、と破壊活動開始するヤツもいるので、早期発見が大事です。
よーのすけのウィルス解説なんか読んで、納得してしまう人では、もう、回復のさせようがありません。ウィルス退治ソフトを買いに走ってください。もし、インストール済みであれば、最新のウィルス定義ファイル(パターンファイル)を、アナログ郵便で送ってもらうか、ほかのパソコンでダウンロードしたのをもらってください。感染したウィルスがわかっていれば、各社提供の無償定義ファイルも利用できます。
また、ウィルス退治ソフトを全く持っていなくても、駆除ツールが、各社から無償提供されています。
とはいえ、たとえ慌てて新品を買ってきても、ウィルス定義ファイルが最新でないと、検出されないことがありますんで、最新の定義ソフトを入手できる環境づくり(パソコン貸してくれたり、ダウンロードした定義ファイルを感染コンピュータにインストールできる友達作っとくとか)が必要でしょう、もし、ウィルス退治環境をパソコンに備える気がないのであれば。
また、一度感染してしまうと、アプリケーションそのものを立ち上げられなくなるものもあります。これだと、ウィルス退治ソフトをインストールするところまで行けない可能性が出て来ます。
最終的には、あきらめて、パソコンのハードディスクを「全て」フォーマット、再インストールします。(これも、OSの下位レベルのシステムにとりつくウィルスだったりするとダメです。今のところ、OSが立ち上がらないなどの劇症ウィルスで、かつホームページ経由・プレビューのみで感染というのは聞いてませんが)
Badtrance_B | ウィルスについて | 感染症状 | 感染したら | HP経由感染の仕組み | 予防策 | おまけ
2001年9月に流行し始めたNimdaが代表です。ホームページを閲覧しただけで感染するということで、パニックに陥った人も多かったようです。
このウィルスは、ホームページに埋め込まれたJAVAスクリプトで構成されています。
ウィルスは、このJAVAスクリプトで、ウィルス本体の実行ファイルをダウンロードして実行せよ、という命令を下します。
「ホームページを閲覧しただけで感染する」 ということの意味は、そういう命令を書いたWebページを、ブラウザで表示することによって、命令が実行されてしまう、という意味なのです。
こうした命令を無条件で実行してしまうのが、Internet Explor や Outlook Express の 「穴」、つまり、セキュリティホールなのです。
JAVAスクリプトはある意味では危険だということは確かですから、ブラウザはオプションで、JAVAの実行をON/OFFすることが出来ます。i) ii)
「オーナーが埋め込まない限り、ウィルス付きのWebページが出来るわけないじゃん。ウィルスばらまこうとするオーナーの持つ、あやしいホームページに行かなければいいんでないの?」
もっともな疑問です。かつては確かに、悪質な意図を持った「アングラページ」にさえアクセスしなければ、そういうウィルスは拾わないと言われてきました。
しかし、9月のNimdaなどは、官庁や企業のホームページに至るまでやっつけてしまいました。
では、オーナーが意図しないJAVAスクリプトがどうしてWebページに埋め込まれるのか。
JAVAスクリプトを使った感染力の強いウィルスは、感染させたコンピューターのハードディスク内にあるWebページ形式ファィル(htmlファイル)に自分のJAVAスクリプトを書き加えます。ホームページ開設者が、ファイルが変更されたことに気が付かないで、UPしてしまうと、ウィルス付きホームページの一丁上がりとなるわけです。
この手のウィルスも、OUTLOOK EXPRESS等のアドレスブック形式(MFC形式)に準拠したアドレスブックを乗っ取って、感染メールを送りまくるのはいうまでもありません。
2001年12月以降、繁殖しているBADTRANCE_Bなどが、このタイプです。よーのすけも今までになくたくさんもらいました。
このウィルスは、ホームページ自体がウィルスをばらまくわけではありませんが、Webページに記載されたアドレスに感染メールが送られるという点で、ホームページがウィルスを媒介していると言えます。このタイプのウィルスは、感染者のパソコン内に入っているファイルから、アドレスを全部拾い出して、メールを送ります。アドレスブック内はもちろんですが、ホームページ閲覧との関係で問題になのは、ブラウザのキャッシュのhtmlファイルからアドレスを拾うという点です。
キャッシュというのは耳慣れない言葉かもしれません。
インターネットを閲覧しているとき、実は、見ているWebページは、あなたのパソコンの中に取り込まれています。パソコンは、ハードディスク内に一旦たくわえたWebページを表示しているのです。そのWebページは、電源を切っても、一定期間内、あるいは貯蔵領域が一杯になるまで残っています。
ハードディスク内の決まった場所に蓄えられたこれらのホームページに記載されたアドレスを、ウィルスが拾います。未知の人が、意図せずにウィルスメールをよこす仕組みがこれなのです。
ホームページにメールアドレスを記載するのはどこかと言えば、掲示板ですよね。
知らない人からメールでウィルスが送られてくるのは、あなたのアドレスが記載された掲示板をみた人が、その後かその前かに、ウィルスに感染したことを示しています。つまり、あなたがアドレスを掲載しているどこかのページのメンバー全員に、ウィルスが配布されているはずです。この場合、自分が参加している掲示板を巡回してみると、感染源の見当が付くことがあります。(感染しましたぁ〜って話を誰かがしてます)
Badtrance_B | ウィルスについて | 感染症状 | 感染したら | HP経由感染の仕組み | 予防策 | おまけ
ウィルス駆除ソフトを最新の状態に保っていればたいていの場合、引っかかってくれます。しかし、絶えず亜種が出てくるため、万全とは言えません。油断は禁物です。
実際、よーのすけは、次のようなケースに遭遇したことがあります。「明らかにウィルス」であるメールを土曜日に受け取りました。ローカルでそのファイルに対しウィルスチェックをかけたが、検出されず、最新定義ファイルをダウンロードに行ったところ、まだ更新されていなかった。チェックに引っかかる定義ファイルが更新されたのは火曜日だったなんてことがあります。
英語版・ドイツ語版など出回ってますので、英語に自信のある方はどうぞ。
個人使用に限りフリーです。
詳しい解説サイトがあるものもあるそうです。
Badtrance_B | ウィルスについて | 感染症状 | 感染したら | HP経由感染の仕組み | 予防策 | おまけ
とは、Windowsが勝利を占めた瞬間から言われてきました。
バンドルソフトのWordやExcelも、今やWindowsパソコンの数だけあるわけですから、市中を騒がせたい愉快犯にとっては絶好のターゲットになります。もっとも一般的なシステムが狙われるのは当たり前のことです。今や、アップルコンピュータは、ほとんどウィルスに感染しないらしいです。ウィルスメーカーにまで見放されたアップルっていうのもなんだか悲しいですが。
しかしあえて言うなら、Microsoftが狙われやすいのは、Windowsの普及に加えて、Microsoft社の一種フライイング的な性格もあるのではないでしょうか。
ビル・ゲイツ氏自身がかつてインタビューに答えていたことがあるんですが、Microsoft社 − MS-DOSの成功は、OSとしての出来もさることながら、ハードウェアメーカー(IBM)の要求したOSを、どこよりも早く突貫工事で提供できたことにあったそうです。この体質、今もって変わっていないようで、つまり、未完成でも、市場に出しちゃうんです。WindowsがSecond Edisionにならないと、安定しなかったり、その他のソフトでもバージョンアップした最初の版では、必ずと言っていいほど「重大なセキュリティホールないしバグ」が発見されるのを聞くにつけ、納得してしまう話です。また、多くのアプリケーションが、OSの上に乗っている、相互に自立したプログラムてあるはずにもかかわらず、OSと連動していて、多くの過程が自動化されている、という一種ブラックボックス的性格が、知らないうちにウィルスに住み着かれているという事態を増長しているようにも見えます。
こういった意味では、Microsoft社の製品を使わないというのは、ウィルス対策としてはかなり有効だったりします。Microsoft社の一種ブラックボックス的性格を回避するためにも、それ以上に愉快犯のターゲットにならないためにも。よーのすけは、幸か不幸かMicrosoft社製のソフトとは手の相性が悪く、OSを除いてほとんど使っていません。Excel, Outlook Expressなんてインストールさえしていない、というパソコン環境にあります。
かくも慎重(?)なよーのすけですが、それでも、かつて、誤ってウィルスを実行してしまったことがあります。外国の知り合いからメールで、文字化けしたのと勘違いし、復元するつもりで実行したのです。もちろん、いかにもあやしげだったので、シマンテックのAntiVirusで、改めてチェックをかけた後、自己解凍ファイルと判断して、開いたのです。後からわかったのですが、そのウィルス、定義ファイル更新されたのがその日の午前中だったのです。前日に定義ファイルのダウンロードしたばかりだったので、大丈夫、と油断したというわけです。
そのときは、どうも、見たことがない環境に、ウィルスがパニック起こしたらしく、フリーズして、幸運にも感染には至りませんでした(実行ファイルはシステムディレクトリに作成されたが、システムの書き換えには至らなかった)。きわめて悪質なウィルスであったことを後から知り、ぞっとしたものです。