PR

 フィンランドのセキュリティ企業エフセキュアは2009年1月7日、新たな「USBウイルス」を確認したとして注意を呼びかけた。Windowsの自動実行を悪用するための設定ファイルを偽装することが特徴。

 ここでの「USBウイルス」とは、USBメモリーなどのリムーバブルメディアを介して感染を広げるウイルスのこと。USBワームやUSBマルウエアなどとも呼ばれる。

 USBウイルスが危険なのは、ウイルスが潜むUSBメモリーなどをパソコンに接続するだけで感染する恐れがあるため。USBウイルスは、ウイルス本体と一緒に、そのウイルスを起動する設定ファイル(Autorun.inf)をUSBメモリーなどにコピーし、Windowsの自動再生(自動実行)機能を悪用しようとする。

 2008年後半から現在にかけて、USBウイルスの機能を持つウイルスは次々と出現し、国内外で大きな被害をもたらしている。今回エフセキュアが報告したのはそのうちの1種で、「Downadup」と呼ばれるウイルスの亜種。

 Downadupについては、Windowsの脆弱(ぜいじゃく)性を悪用して感染を広げているとして、セキュリティ企業や組織が2008年11月ごろから警告している。最近では、数百万台のパソコンに感染しているとする情報もある。

 エフセキュアによれば、DownadupはUSBメモリーなどを経由した感染機能も持つという。つまり、Windowsの脆弱性を突くウイルスであるとともに、USBウイルスでもある。

 今回報告されたDownadupがUSBウイルスとして振る舞う際の特徴は、Autorun.infを偽装すること。Autorun.infはテキストで記載された設定ファイルであり、「メモ帳」などで開けば内容を読める(図1)。

 ところがDownadupは、自分自身を実行するAutorun.infにダミーのバイナリーデータを書き込んで、メモ帳などで開くと文字化けするようにしている(図2)。こうすることで、悪質なAutorun.infではないように思わせる。

 また、ウイルス対策ソフトの中には、悪質なAutorun.infをウイルスの一種として検出するものがあるので、このような偽装は検出回避に“効果”があると考えられる。

 実際には、ダミーのバイナリーデータはすべてコメントとして書き込まれているので、Windowsはこれらをすべて無視。90KBにのぼるダミーのデータ中に記載された「Open=RUNDLL32.EXE .\RECYCLER\jwgvsq.vmx」というコマンドのみを解釈し、隠しフォルダーの中に置かれたウイルス本体(jwgvsq.vmx)を自動実行しようとする。

 エフセキュアでは、今回のような偽装にだまされないよう改めて注意を呼びかけている。