年末年始は「タコイカウイルス」にも注意、重要ファイルを上書き


 トレンドマイクロは、年末年始におけるセキュリティ対策を注意事項をまとめ、再確認を呼びかけている。年賀メールを装ったウイルス添付メールやワンクリック詐欺への注意を促すとともに、2009年夏ごろからファイル共有ソフトで出回っている、通称「タコイカウイルス」について解説している。感染すると、PC内のファイルが次々に書き変えられることで、PCが正常に動作しなくなる可能性があるという。

長いスペース使用で動画ファイルを装う

長いスペースと二重拡張子で偽造されたウイルス本体

 トレンドマイクロによれば、「タコイカウイルス」のファイル名は、「<動画タイトル名>.mp4<長いスペース>.scr」。ファイルのアイコンは、動画ファイルのアイコンに偽造されている。

 「タコイカウイルス」の拡張子は「.scr」(スクリーンセーバー)となっているが、その正体は実行ファイルだ。そのまま実行可能であることから、ウイルスに頻繁に利用されているという。

 トレンドマイクロでは、「ファイルの表示方法によっては、二重拡張子となっていることに気づかず、mp4形式の動画ファイルであると誤認してしまう危険性がある」と指摘し、長いスペースを使用した拡張子偽造について注意を促している。なお、「.mp4」以外に「.avi」のものも確認されているという。

 また、ファイルサイズは200MBを超えているが、内部的には実行ファイルコード部分に無意味なデータを加え、ファイルサイズを増加させているだけであり、「動画ファイルであると誤認させるためのテクニック」と指摘している。

 なお、トレンドマイクロでは「タコイカウイルス」を「TROJ_TACO.A」として検知している。

ファイルの表示方法によっては誤認する危険性がある

タコやイカの画像でPC内のファイルを次々と上書き

 「タコイカウイルス」を実行すると、自身と同じ名前のAVIファイルを新たに作成して実行する。ファイルをダブルクリックすると動画が再生されるため、通常の動画ファイルと思いがちだが、「裏では既にウイルスが実行されている」(トレンドマイクロ)。

 「タコイカウイルス」はその後、PC内のファイルを次々と同じファイル名のPNG画像(内部データはJPEG)で上書きする。ここで使用される画像にはタコ、イカ、ウニ、クラゲ、サザエ、アンコウ、ナマコなど複数の種類があり、ウイルス自身が上書きに使う画像をランダムに決定している。

 「タコイカウイルス」は重要なテキストファイルや画像ファイルなどがすべて上書きされてしまうため、修復・復旧が困難だという。データの復旧には、システムの復元もしくはセクターから直接復元するソフトを利用するなどの方法が考えられるが、復旧できない場合はOSのリカバリが必要だとしている。

ウイルスにより開かれる動画イカ画像に置き換えられたスタートメニューフォルダ
ファイル上書きに使用される画像の一部

別ウイルス作成で情報漏えいの可能性も

 なお、「タコイカウイルス」はファイルを上書きするだけでなく、ユーザーが画像に気を取られている間に裏で別のウイルスを作成し、情報漏えいなどを行うことがあるとしている。

 具体的にはシステムフォルダ階層内に複数の別ウイルスを作成する。そのうち「csrss.exe」というウイルスは、Internet Explorerのアイコンに偽造されており、レジストリのRunキーに登録されることで再起動時にも実行されてしまう。

 「csrss.exe」はTCP接続およびFTP接続を行い、FTP接続によりファイルを送信する動作が確認されている。送信されるファイルは暗号化されているため、実際のデータを直接確認することはできない。トレンドマイクロでは、「デスクトップ画面およびユーザー名/コンピュータ名を取得し、それらのデータを暗号化して送信している可能性は十分考えられる」としている。

 トレンドマイクロでは、「年末年始にかけて、会社のデータをUSBメモリなどで家に持ち帰り、自宅でファイル共有ソフト経由によりウイルスに感染し情報漏洩する、といった最悪のシナリオにならないよう、今からセキュリティ対策は万全な状態にしておきましょう」と注意を呼びかけている。


関連情報

(増田 覚)

2009/12/24 15:24