-バインドウイルス-コンピュータウイルスは日々進化しています。以前にも紹介した自分自身を変形させてウイルス対策ソフトを通過するポリモーフィック型ウイルスや、セキュリティホールを悪用したワームなど、様々なウイルスが誕生してきました。これら
ウイルスの進化には共通した目的があり、それは「感染率を高める」というものです。
ここでは、ターゲットの感染をより確実にするために作られるバインドウイルスについて詳解します。
------------------------------------------------------------------
■バインドとBIND
一般的にBINDといえば、DNS(Domain Name System)を実現する最も代表的なサーバアプリケーションを指します。今回ここで扱う「バインド」は、UNIXの世界でいうBINDではなく、セキュリティ用語としての「バインド」です。
サーバの起動時に、事前に設定しておいた他のプログラムも起動させることができます。見た目にはサーバ起動と同時に隠れて実行されるので、起動時に気付かれづに(怪しまれないで)済みます。このようなソフトウェアのことを「バインダ」と呼び、実行される行為を「バインド」と呼んでいます。
■NetBusを使った感染
NetBusはメモ帳を装う有名なトロイの木馬です。当然、アンチウイルスソフトでも検出されるます。攻撃者は、相手に感染させて感染パソコンを操作してしまいます。このトロイの木馬はデフォルトで12345(TCP)を使用して、以下の手順で感染していきます。
�サーバプログラム=ウイルス(実行ファイルをダブルクリックすると感染して、被害者になるプログラム)を用意します。これをnotepad.exeなどの適当な実行ファイルにバインドしておけば、そのファイルを受け取った相手がnotepad.exeをダブルクリックした時、メモが開くと同時にNetBusのサーバプログラムが陰でインストールされます。その後、NetBusのデフォルトポートである
12345(TCP)が勝手に開かれてしまいます。
�クライアントプログラムと呼ばれる被害者のパソコンを操作するプログラムを使って、相手のパソコンを操作します。
ここでのポイントは、このポート12345はあくまでデフォルトのポートであって変更が可能だという点です。80や110などにも変更が可能です。高度な知識を持った攻撃者は、好んでこのポートを変更します。なぜなら、ターゲットに選んだ被害者を他の攻撃者に侵害されないからです。せっかく苦労して感染させたターゲットのポートを、無断で利用されることを攻撃者は極端に嫌う傾向がありま
す。
しかし、上記のように特定の相手を選んで感染させたのならともかく、世界中に散在する被害者を探し出すには、膨大な数になることからデフォルトのポートである12345をトロイポートスキャン(トロイの木馬の感染の有無を調査する簡単な手法)することになります。
NetBus以外では、Sub Seven(TCP 1243)やBackOfrice(TCP 31337)などが有名です。当然、これらのポートも自由に変更することができます。
■パーソナルファイアウォールに表示されるトロイの木馬
既述のとおり多くの攻撃者は、トロイの木馬がインストールされているパソコンを探すためにトロイポートスキャンを実施します。このとき、スキャンするIPアドレスの範囲を決定します。実際には数百から数千のIPアドレスに対してトロイポートスキャンを行って、被害者を探し出します。このスキャンを特に「スイープ」と呼んでいます。トロイの木馬に感染していないパソコンに対してもスキャンが行われるため、搭載しているパーソナルファイアウォールやIDS(不正侵入検知システム)がこのスキャンが原因で反応してしまうわけです。しかしこのスキャンはいわば通りすがりの行為であって、大抵は特定の個人を狙ったものではないので無視したほうがよいでしょう。
一部のパーソナルファイアウォールは、有名なトロイの木馬のデフォルトポートにスキャンが行われたとき、そのトロイの木馬の名称が付いた警告画面を表示します。これらは、それが本当にそのクライアントプログラム、つまり感染中の相手を操作するアプリケーションからスキャンされたのか否かに関係なく(確かめる機能がないため)、「NetBus port scan!」などという警告を出してしまいま
す。例えば、ポートスキャナを用いて自分のパソコンを広範囲(ポート1〜65000程度)にスキャンしてみます。そうするとやはり、トロイの木馬に感染していなくてもNetBusやSub Sevenの名称が警告としてパーソナルファイアウォールに表示されるでしょう。当然これらは、ただ単にそれらのポートに対するただのコメントですので、「トロイの木馬に感染してるんだ!」などと心配しないでくださ
いね。
ただし、本当にトロイの木馬に感染している場合がありますので注意してください。ウイルス対策ソフトでスキャンする方法が一番ですが、その他にもアウトバウンド(つまり、自分のパソコンからインターネットへ向けてのアクセス)をパーソナルファイアウォールで制御する方法が有効的です。HTTP(ポート80)やメール関係のポート以外を禁止すれば、その他の無関係なポートが利用されたとき
にアラートが表示されます。
最後に、トロイの木馬には感染性はありません。しかし、ワームなどの電子メールを利用したウイルスにトロイの木馬が便乗してくる可能性はあります(複合型ウイルスと呼ばれています)。また、便利だからといって不用意にフリーのソフトをダウンロードしてしまうのも好ましくありません。それ自体がトロイの木馬(またはスパイウェア)であるという可能性を理解しましょう。