「死んだふり」して検知をすり抜ける新種のワームが登場

Munir Kotadia (ZDNet UK)2004年07月15日 10時31分
  • このエントリーをはてなブックマークに追加

 「Atak」という最新の大量メール送付型ワームは、ウイルス対策ソフトがPCをスキャンしていることを察知すると、活動を停止して身を隠すという。

 このワームが最初に発見されたのは米国時間12日のこと。各ウイルス対策ソフトウェアメーカーでは、このワームが大きな被害を与えることはないが、ただし大量のスパムを送れるのでPCユーザーには迷惑なものになるかもしれないとしている。

 悪質なソフトウェアの作者が、紛らわしいコードを追加したり迂回テクニックを用いたりして、ウイルス対策ソフトメーカーの研究者らをできるだけ困らせようとすることが多い、とウイルス対策ソフトメーカーSophosのシニアテクノロジーコンサルタント、Graham Cluleyは言う。

 「Atakはウイルス検知のためのコード分析作業が行われていないかどうかを知ろうとする。(ウイルス対策ソフト)メーカーによる検知プログラムの作成作業をいっそう複雑にすることを狙ったコードが、ウイルスに多数含まれているといったこともよくある」(Cluley)

 フィンランドのセキュリティ会社F-Secureのウイルス対策リサーチディレクター、Mikko Hypponenは、ウイルス作者が自分の書く悪質なプログラムに防御機能を付けることはよくあるが、今回のワームは異例のものだと述べている。

 「ウイルス検知ソフトを避けるため、何層にも暗号化--武装化--されているワームはよくあるが、このワームはそのレベルをはるかに超えている。このワームは、自分が分析されていると感じると、活動を停止して自ら終了してしまう」(Hypponen)

 Atakは重大な脅威とは考えられていない。しかし、最近の検知技術や防護機能の制約で、このワームの完全な機能はまだ全て分析されていない。ただし、このワームには、MyDoomやBagle、Netskyといった他の有名なワームやウイルスを脅迫するかのような内容のテキストが含まれていることはわかっている。

 Atakが「ライバル」のワームを探して破壊する可能性はあるとHypponenは述べている。

 「Atakがこうしたウイルスのいくつかを無効にしようとするかどうかは、まだ分かっていない。このメッセージが示唆するのは、Atakに他のウイルスを攻撃するコードが含まれているということだ」(Hypponen)

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加