IPAは、毎月発表するコンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、多機能化するW32/Virutウイルスへの警戒を呼びかけている。2008年の末より、IPAに報告されるウイルス被害では、W32/Virutの届出が増加傾向にある。このウイルスが初めてIPAに届出されたのは2006年8月であり、比較的古いウイルスである。しかし、当初より感染・拡散機能が強化された亜種が活発に活動し、感染が拡大している可能性があるとのことである。

W32/Virutとは

冒頭でも触れたように、W32/Virutが最初に検知されたのは、2006年8月と比較的古いものである。しかし、W32/Virutには数多くの亜種と多様な破壊活動が報告されている。まずは、その感染経路を見ていきたい。

まずは何らかの方法で、ユーザーを悪意を持ったWebサイトなどに誘導する。そのWebページを閲覧中に、W32/Virutをダウンロードさせることで感染が行われる。一度、PCに感染したW32/Virutは、実行形式であるexeファイルやスクリーンセーバーのscrファイルに対し感染活動を行う。ただし、この時点でW32/Virutウイルス自身の動作に支障を与えるプログラムファイルには感染しない(一例では、プロセス名やファイル名に「OTSP」、「WC32」、「WCUN」、「WINC」があると感染を行わない。これは、ウイルス自身が感染環境を保護する目的で行われているとのことである)。

そして、感染したW32/Virutは、PC内にある「php」、「asp」、「htm」、「html」の拡張子を持ったファイルに、W32/Virutが仕込まれているWebサイトにアクセスさせるコードを埋め込み、拡散活動を行う。iframeを使い、悪意を持ったWebサイトへ誘導する手口である。もし、W32/Virutに感染したPCサーバーがWebサーバーなどなどの機能を有している場合、被害はより甚大となる。これらのファイルは、主にホームページを作成する時に使用されることが多く、不正なコードを埋め込まれた状態のままで、公開されることになってしまうのである。

不正なコードに記載された、悪意を持ったWebサイトにアクセスすると、W32/Virutに感染する可能性がある。W32/Virutは、アクセスしてきたPCに対して、特定の脆弱性がないかの解析を行う。当然ながら、脆弱性があればそれを悪用し、感染を行う。また、一部の亜種では、駆除が行われるとさらに別のウイルスが正体を現すような事例も報告されている。

IPAへのW32/Virutウイルスの届出件数は、最近1年間ではほぼ毎月上位10位以内にランキングされており、決してめずらしいウイルスではない。また、W32/Virutに感染すると、そのユーザー以外のPCに対しても、感染の活動を行う(加害者となる可能性もあるのだ)。このように、連鎖的に感染が拡大していく点についても、注意が必要である。

W32/Virutの被害内容

IPAによれば、W32/Virutに感染した場合の想定される被害として、次をあげている。

  • PCのプログラムファイル(exe)やスクリーンセーバーファイル(scr)に感染が広がる。
  • Windowsファイル保護機能の動作が妨害される。
  • Windowsファイアウォールの設定が無効にされる。
  • パソコン内にある、「php」、「asp」、「htm」、「html」の拡張子を持ったファイルに対して、悪意を持った外部のWebサイトにアクセスさせるコードが埋め込まれ、ファイルが改ざんされる。

最悪な事態としては、Windowsが起動できなくなるといったことも、十分に考えられる。さらに、ウイルスの感染元となってしまう可能性もあることに注意が必要である。

W32/Virutへの感染予防対策

まず、ウイルス対策ソフトのウイルス定義ファイルを常に最新の状態に更新し、リアルタイム検知機能を有効にすることである。そして、W32/Virutは感染先のPCに脆弱性があるか解析し、あれば感染活動を開始する。Windowsや使用中のアプリケーションソフトを常に最新の状態に更新して、脆弱性を可能な限り解消しておくことが必要となる。

また、重要なデータやファイルは、バックアップを取り(USBメモリ、CD-R、外付HDDといった外部記憶装置が望ましい)、最悪の事態に備えることも対策となる。

W32/Virutに感染してしまったら

W32/Virutに感染すると、PCを正常な状態に復旧させることは非常に困難となる。多くが、正規のファイルに対し、さまざまな手口を使い書き換えなどを行う。仮にウイルスを検知できても、駆除を行えないことも考えられる。さらに感染方法でも触れたように、ウイルスが駆除されても、W32/Virutは別のウイルスに変化するという事例もある。駆除が成功したかに見えても、気付かない所でウイルスが残り、他のウイルスをダウンロードさせたりするのである。

このように、ステルス性(発見されにくい性質)が高く、影響がどこまで及んでいるかわからない状態になる危険性がある。IPAでは、もしW32/Virutの感染が検知された場合は、PCを購入した時の状態に戻すことを推奨している。その際には、重要なデータのバックアップ、さらにはバックアップデータのウイルスチェックなどを入念に行い、ウイルスに感染していないことを確認するようにすべきとしている。

このようにW32/Virutに感染してしまうと、多大な被害が予想される。ウイルス対策ソフトの利用、脆弱性の解消を怠らないことである。同時にバックアップも対策としては有効となる。