ウイルスというと,昔はファイルを消したり,不正終了させるなどが想像できたが,最近となると
・画面のキャプチャを掲示板にアップロード
・マイドキュメントにあるファイルをWinnyなどのファイル交換ソフトへ共有させる
など進化している。
その中で,最近目につくのがウイルス対策ソフトのアップデート阻害ウイルス。
昔は,ホストネームを偽装させてアップデートを阻害していたが,今回はパケットフィルタリングを使用した阻害だそうだ。
このウイルスを退治するには,正規のパケットフィルタリングソフトとウイルスのパケットフィルタリングソフトを見分けないといけませんね。
パターンマッチングなどで分けると思いますが,亜種などが出た場合は結構複雑になるかもしれません。パケットフィルタリングソフトもたくさんありますし。
僕のウイルス感染は二年弱前に流行したBlasterウイルスのみですね。あのときは本当にびっくりしたことを覚えています。当時はWindowsでサーバをたてていたので,内部のPCにはウイルスをばらまきたい放題で3台中2台感染しましたね。
<参考>
進化するウイルス――今度はパケットフィルタリングで対策を妨害
F-Secureは7月1日、ウイルス対策ソフトベンダーやOSベンダーのWebサイトへのアクセスをブロックするようパケットフィルタリング機能を変更させるウイルス、「Fantibag.B」が出現したとして、注意を呼びかけた。
Fantibag.Bはトロイの木馬型のウイルス。いったん感染すると「firewall_anti.exe」という名前で自分自身をコピーし、レジストリを改ざんするほか、パケットフィルタリングAPIを変更してウイルス対策ソフトベンダーやOSベンダーへのアクセスをブロックし、パッチやウイルス定義ファイルのアップデートを妨げようとする。ブロックされるドメイン名には「windowsupdate.microsoft.com」のほか「www.f-secure.com」「www.mcafee.com」「www.symantec.com」「www.trendmicro.com」など主要なウイルス対策ソフトベンダーの名称が含まれている。
Mytobをはじめ、これまで登場してきたウイルスの中にも、定義ファイルの更新を妨げる動作をとるものは多いが、その多くはhostsファイルの改ざん(ファーミング)という手口によるもの。パケットフィルタリングのポリシーを変更してアクセスを妨げるケースは珍しい。
これを踏まえてSANS Internet Storm Centerでは、パケットフィルタリング搭載ウイルスは、hostsファイルを改ざんするという方法に比べ、検出およびトラブルシューティングが困難であると指摘。定義ファイルのアップデートに失敗した際には何らかの警告を表示するなどの手立てが必要になるかもしれないとしている。