「Auto Start 9805 worm / 香港ウィルス」が、かなりなの勢いで広まっているようだ OCFフォントに感染すると報告されている!!(98/6/5 ) 以下、TidBITS-J#428/04-May-98からの転載 最後の Macintosh 固有のウィルス登場後ほぼ 3 年、新しい Macintosh malware(悪意をもって設計されたコード)が出現した。このワームはデー タファイルを上書きするように設計され、最初の発見地点である香港のデ スクトップ・パブリッシング界で迅速に広がった。(作動するためには他 のソフトウェアに自分自身を結合しなければならないウィルスと違い、ワームは自分自身で実行する。)このワームは、抗ウィルス・アナリストたちが Autostart-9805と名づけており、CD-ROM の挿入後ただちにプログラムを開始させる QuickTime 2.0 以降の機能を利用する。 QuickTime 2.5 以降では、QuickTime 設定コント ロールパネルでこの機能を無効にできる。 内部的な働き -- アナリストによると、このワームはほとんどどんな HFS または HFS+ ディスクボリュームを介しても伝播されうるという。フロッ ピーディスク、ほとんどのリムーバブルなカートリッジドライブ、MO ディ スク、記録可能な CD ディスク、ハードディスク、さらにマウント可能な DiskCopy または ShrinkWrap ディスクイメージ・ファイルなどである。こ のワームは Mac OS の走る PowerPC システム上でのみ作動し、最初は CD-ROM を自動的に再生する機能を有効にして QuickTime 2.0 以降を走らせているコンピュータだけを感染させる。 感染したディスクには、 自動再生属性がそのディスクのブートブロックにセットされる。 その後、このワーム がコンピュータを再起動し、不可視の Desktop Print Spooler を介してメモリに再読み込みされる。Desktop Print Spooler はフェイスレスなバックグラウンドのアプリケーションとして作動し、アプリケーション・メニューに現れない。 約30 分ごとに、このワームがマウントされているボリュームを調べ、感 染されていないものどれにでも、自分自身を自動再生可能状態で DB とし てルートディレクトリにコピーし戻すことで感染させるよう試みる。その後、マウントされているボリュームを検索し、“data”、“cod”、“csa” で終わる名前を持ち、データフォークが 100 バイトよりも大きいファイル か、または“dat”で終わり、約 2 MB よりも大きいファイルを探す。そう いうファイルを見つけると、このワームがそのデータフォークの最初の約1 MB をゴミで上書きするのだ。 感染しているか? いまのところ、抗ウィルス専門家は AutoStart-9805 が香港のデスクトップ・パブリッシング界をはるかに越えて広がったとは 考えていない。だから、このワームがさらにもっと遠くまで広がらないよ うにすることはできるはずだ。旧いウィルス定義ファイルは役に立たない ことを思い出して、自分の抗ウィルスユーティリティの版元の最新のアッ プデートを調べよう! 自分でチェックできる目に見える症状には次のようなものがある あるボリュームをマウント後、システムが予期せぬ再起動をする。これは 最初の感染が起こった時だ。 DB という名のアプリケーションが、その起動時にメニューバーに一瞬現れる。 ルートディレクトリに DB という名前の不可視アプリケーション・ファイ ル、または機能拡張フォルダに不可視の Desktop Print Spooler ファイル が置かれている。 ResEdit、Norton DiskEditor、Mac OSのファイル検索 ユーティリティ(“名前が”メニューをクリック時に Option を押すこと で“目に”項目が現れる)を使って不可視ファイルを検索する。 30分ごとに多数の説明のつかないディスク活動がある。 予防策 新規の感染の危険は、QuickTime 2.5 以降では QuickTime 設定コントロールパネルのCD-ROM を自動的に再生する機能を無効にすることで効果的に排除できる。しかし、これはシステムがすでに感染していた場合は役に立たない。また、感染した Macがネットワーク共有されている システムのボリューム上に不可視 DBファイルを作成することも防げない。 2.5 より前バージョンの QuickTime は自動再生機能を無効にするメニューを欠いているので、Apple 社の QuickTime グループは、旧いバージョンを持っている場合は、QuickTime 2.5 にアップグレードすることを勧めてい る。 “オーディオ CDを自動的に再生する”を無効にする必要はない。通 常のオーディオ CD はこのワームを運べないからだ。 ftp://ftp.info.apple.com/Apple_Support_Area/Apple_SW_Updates/US/ ユーティリティ Dr. Solomon 社の Anti-visus Toolkit と Virex は、このワームに対処できるようにアップデートされており、Symantec 社 は SAM 用のアップデートをリリースするだろう。John Norstad 氏のフリー ウェア、Disinfectant はこの問題を検知できないので、検知できる最新の 商品ユーティリティを使うように勧めている。彼は Disinfectant が Autostart-9805 を扱えるようにアップデートするかどうかに関してまもな く発表を行う予定だ。 http://www.drsolomon.com/products/avtk/ps_mac.html by Mark H. Anbinder <mha@tidbits.com> TidBITS に関する情報(購読の申し込み方やバックナンバーのありか、その 他の有益な情報)を入手するには、<info@tidbits.com> にメールを送って ください。感想や寄稿は <editors@tidbits.com> へ送ってください。 バックナンバーは、 |
ダウンロードサイト ・WormFood 1.3--98/8--Autostart 9805-Eまで ・WormScanner2.1.1--98/8 ・Eradicator.sit v1.0.3--98/8 ・worm-scanner-2.2.1--98/10--最新--AutoStart9805-Fまで ・Autostart Hunter J-1.0 b3--98/7 ・http://www.parkcity.ne.jp/~yukoswrd/index_mac.html ・Autostart Hunter J-1.1--98/10--最新 ・Autostart Worm Cleaner Lite--98/5 ・日経Macのアンチウイルスソフトへのリンク-98/7 |
情報源--98年5月現在 ・マッキントッシュトラブルニュースで詳しく解説されている ・http://www.ed.kagawa-u.ac.jp/~akiyama/mac/ ・http://www.axes.co.jp/TidBITS-J/issues-j/ ・http://www.bekkoame.or.jp/~jin-k/column/98-05/05-19.html ・MacWeekが、Norton AntiVirus for Macintoshが ・DTP-Sでも解説されている--98/5 ・http://www.bekkoame.or.jp/~jin-k/column/98-05/05-19.html |