日経コンピュータ
ニュース
http://www25.nikkeibp.co.jp/wcs/leaf?CID=onair/nc/news00/102487

いまだ“恋文”騒動終わらず，「ラブレター・ウ イルス」の亜種が流行 　ラブレター・ウイルスの問題は終わってない。5月19日，ラ ブレター・ウイルスの亜種である「ニューラブ」ウイルスが見 つかった。ニューラブは自分の特徴を変化させながら感染を広 げていく「ポリモーフィック型」と呼ばれるウイルス。発見が 難しいうえに，感染したコンピュータとLANでつながったコン ピュータのファイルをすべて削除してしまう。ラブレター・ウ イルスにまして非常に悪質なウイルスである。 　ニューラブ・ウイルスは電子メール用ソフトを介して感染す る。Outlookのアドレス帳に記載されている宛先すべてに，ウ イルスのコピーが添付されたメールを送りつける。つまり，知 人あるいは取引先のアドレスでウイルスが送られてくる。ここ まではラブレター・ウイルスと同じである。さらにニューラ ブ・ウイルスにはラブレター・ウイルスない特徴がいくつかあ る。 　最大の特徴は，ウイルス自身を変化させながら感染させるこ と。ニューラブ・ウイルスはメールの表題や，添付ファイル （Visual Basic Scriptで作成されたウイルス・ファイル）の ファイル名を，感染のたびに変えることができる。 　ラブレター・ウイルスの場合は，メールの表題が 「ILOVEYOU」で固定されていた。これに対し，ニューラブ・ ウイルスの場合は，「FW:」以下にランダムな名前が記載され る。そして「.VBS」の拡張子がついたファイル名のウイルス・ ファイルを添付する。ウイルス・ファイルの名前は感染したコ ンピュータの「最近使ったファイル」ディレクトリからランダ ムに選び出す。 　例えば，感染したパソコンの「最近使ったファイル」ディレ クトリに「test.txt」があったならば，ニューラブ・ウイルス はこのファイル名を借りて「FW: test.txt」という表題でメー ルを送りつける。添付されるウイルス・ファイルの名称は 「test.txt.VBS」となる。 　「最近使ったファイル」ディレクトリ中にファイルがなかっ た場合は，ランダムに文字列を生成して使用する。感染したパ ソコンがWindows NT/2000の場合，メールの表題は最近使っ たファイルの拡張子になる。添付ファイルはその拡張子に 「.VBS」が付いた形になる。例えば「FW:.EXE」， 「.EXE.VBS」となる。表題に「FW:」とファイル名が付いてお り，本文がなくVBSのファイルが添付されたメールは開かずに 捨てたほうがよい。 　さらに悪質なことに，ニューラブは感染したパソコンのファ イル全体をウイルスのファイルとして上書きしてしまう。感染 したら最後，OS，アプリケーション，データを一からインスト ールし直すしかない。 　ニューラブ・ウイルスは自身のソースコードに手を加え，ウ イルス対策ソフトの眼をかいくぐる工夫までなされている。新 しいコンピュータに感染するたびに，ウイルスを構成するソー ス・コードの本文中に適当なコメントを書き加える。これによ ってソース・コードの長さや，コードの位置（「指紋」と言わ れている）を変えられる。通常のウイルス対策ソフトはコード の長さや指紋によってウイルスを検出するので，コード長や指 紋を変えてしまうとなかなか発見されない。 　ウイルス対策ソフト・ベンダー各社はニューラブ・ウイルス に対し，直ちに手を打っている。シマンテック，トレンドマイ クロ（東京都渋谷区），日本ネットワークアソシエイツ（東京 都渋谷区）は相次いで，自社のウイルス発見用ファイルをアッ プデートし，ニューラブ・ウイルスを検知できるようにした。 　トレンドマイクロは，「ある程度指紋を抽出するための幅， つまりウイルスに特徴的なコードを検索する位置の幅を持たせ てあるので，ニューラブ・ウイルスを十分に検出できる」とい う。日本ネットワークアソシエイツは，「DOSの時代から良く ある手口。ウイルス自身を書き換えるロジックは，ウイルスの ソース・コードの中でも特殊。これを見つければよい」として いる。 　日本のユーザーが気を付けなければならない点は，感染した コンピュータの「最近使ったファイル」に，日本語のファイル 名があった場合である。日本語の表題とファイル名が付いたウ イルス付きのメールが届けられる可能性がある。（高下 義弘）