PR

「Warez」を装い放流する

 セキュリティパッチを装うワーム活動の検証と同様に、状態の変化の差分から確認できる「WORM_PROLACO.EK」の挙動として、P2Pアプリケーションのネットワーク上への「放流」がある。「放流」とはP2Pアプリケーションにおいて、ネットワーク上にファイルを流す、すなわち共有することを表す。

 日本でのP2Pアプリケーションの火付け役となった「WinMX」をインストールしたテスト機Aにおいて、「document.exe」を実行すると「C:\Program Files\WinMX\shared」フォルダー配下に、大量のファイルが作成された(画面6)。このことは、画面2からも状況の一部が確認できる。

画面6●WinMXの共有フォルダー内に作成されたファイル
[画像のクリックで拡大表示]

 「C:\Program Files\WinMX\shared」フォルダーが「WinMX」上で共有する設定にされていれば、不特定多数の「WinMX」ユーザーからこれらのファイルの検索、閲覧、ダウンロードが可能な状態になるわけだ(ただし当該フォルダーは初期設定でWinMXが共有するパスではないため、ユーザーが任意に指定している場合に限る)。

 では、「不特定多数の『WinMX』ユーザー」はどのようにしてこのファイルを検索し、ダウンロード、実行するのだろうか。それは「WORM_PROLACO.EK」が作成するこれらのファイル名に仕掛けがある。

 もう一度画面6をファイル名に注目して確認してみよう。「Windows 7 Ultimate keygen.exe」など、有名なソフトウェアに「keygen」「crack」といった単語を付加したものが多く見られる。これらは「シリアルキーの不正な発行」や「シリアルキーの認証部分を破壊した改造版」といった意味を表す単語であり、「Warez」(ワレズ、ウェアーズ)などと呼ばれる。つまり、P2Pアプリケーションを不正な目的で使用しているユーザーが検索し、ダウンロード、実行する可能性があるのだ。

表1●P2Pアプリケーションおよびパス一覧
Frostwire
icq
grokster
emule
morpheus
limewire
tesla
winmx
Kazaa
DC++
%System Root%\Downloads\

 だが日本人なら「WinMX?古くてもう誰も使ってないのでは?」と思う方も多いだろう。解析の結果、「WORM_PROLACO.EK」は表1のP2Pアプリケーションをターゲットとすることが確認できている。このリストを見て分かる通り、ターゲットとしているP2Pアプリケーションは海外で有名なものばかりである。日本で多く使用されている「Winny」や「Share」はリストに含まれていない。これらは日本で作成されたP2Pアプリケーションであるため、海外では多くは使用されていないものと思われる。そのため「WORM_PROLACO.EK」の作者は日本を特別なターゲットとして意識していなかった可能性も高い。セキュリティパッチのダウンロードページが英語であることからも、そのことはいえるだろう。