Delphi汚染ウイルス、「Vector」「窓の杜」収録ソフトに感染確認


 オンラインソフトのダウンロードサイト「Vector」で公開されていた一部ソフトに、プログラム開発環境「Delphi」を狙ったウイルス「Induc」が感染していたことがわかった。Vectorが対策を実施した21日20時40分時点で公開されていたソフトのうち、1人の作者が開発した7タイトルに感染していたという。

 ウイルス感染が確認されたのは、「BellTheCat 3.60/3.61/3.62」(ダウンロード数14件)、「BOB 3.22」(同13件)、「Clips 8.61」(同15件)、「HiG(BeS Tools)4.00」(同28件)、「kOSU 1.41/1.42」(同13件)の7タイトル。いずれも1人の作者が開発したもので、7タイトルに含まれる12ファイルへのウイルス感染が確認された。

 また、24日1時20分、詳細な検査を実施した結果、23日まで公開されていた「PicBack」(同188件)と「PickBack2」(同29件)の2タイトル・2ファイル、6月16日から8月5日まで公開されていた「Wise Disk Cleaner 4 Free4」(同8423件)と「WiseRegistryCleanerFree」(同2517件)の2タイトル・7ファイルにも感染の疑いがあることが判明した。

 Vectorは収録するソフトについて、「ウイルスバスター」「ノートンアンチウイルス」「McAfee VirusScan」の3種類のセキュリティソフトでウイルス検査を実施した上で、公開していた。しかし、ウイルス感染が確認されたソフトは8月17日までに公開したもので、各セキュリティソフトのウイルス定義ファイルが当該ウイルスに対応したのが8月18日以降だったため、公開時には感染を確認できなかったとしている。

 また、感染の疑いがあるとしたソフトについては、Vectorが数十種類のスキャナーでウイルス感染の有無を調査したもの。Vectorによれば、一部のスキャナではウイルス感染の恐れがあるという結果が出たものの、「現時点では『ウイルス』と判断できるレベルの調査結果が出ていない」ことから、「感染の疑いがある」として発表したという。

過去2カ月から3カ月前までに公開されたソフトを再検査中

 Vectorでは21日20時40分時点で、過去1カ月間に公開されたすべてのソフト1494タイトルのダウンロードを停止。同日中にこれらのソフトに対して、各セキュリティソフトで再検査を実施したところ、「BellTheCat 3.60/3.61/3.62」など1作者のソフト7タイトルにウイルス感染を確認した。同時に、他の作者が作成したソフトについては、感染がないことを確認。22日16時10分で、感染が確認されたこの7タイトル以外のソフトの公開を再開した。

 さらに同日、安全を確認するために、過去1カ月から2カ月の間に公開されたソフト1623タイトルのダウンロードも停止し、再検査を実施。翌23日には、安全が確認されたソフトを再び順次公開したが、24日、前日まで公開されていた「PickBack」「PickBack2」、および過去に公開されていた「Wise Disk Cleaner 4 Free4」と「WiseRegistryCleanerFree」にウイルス感染の疑いがあることが判明した。

 Vectorは現在、安全のためにウイルス感染の疑いが確認されたこれらのソフトの作者2人が作成した全ソフトの公開を停止。また、検査の対象期間をさらに拡大し、過去2カ月から3カ月の間に公開されたソフト1246タイトルのダウンロードを停止し、再検査を行っている。

「窓の杜」でも収録ソフト2タイトルの感染を確認

 このほか、「窓の杜」でも22日、同サイトに収録していた2つのソフトの旧バージョンが「Induc」に感染していたことを公表。該当するソフトをダウンロードしたユーザーに対してウイルスチェックを行うよう呼び掛けている。

 感染が判明したのは、8月6日から8月19日まで収録していた「Glary Utilities」のバージョン2.15.0.728、7月22日から8月19日まで収録していた「Glary Undelete」のバージョン1.4.0.211。

 なお、8月21日時点で「窓の杜」に収録している最新版の「Glary Utilities」バージョン2.15.0.738、「Glary Undelete」バージョン1.5.0.232においては、ウイルス感染は確認されていないという。

 8月21日付で公開された「トレンドマイクロセキュリティブログ」によると、Delphi(バージョン4.0/5.0/6.0/7.0)がインストールしてあるマシンが「TROJ_INDUC.AA」(トレンドマイクロによる呼称、以下同)に感染すると、Delphiで使用するライブラリ「SysConst.dcu」に不正なコードを追加されることで「TROJ_INDUC.AA」自身に置き換えられる。以降、こうして“汚染”されたDelphi環境で、このライブラリを含むプログラムをコンパイルすると、そのプログラムまでもが「PE_INDUC.A」としてウイルス化することになる。


関連情報

(増田 覚)

2009/8/24 14:47