毎日更新するワームについて

現在主流のアンチウイルス製品は、発見されたマルウェアからパターンを生成してデータベース化、それをもとにPC上にあるファイルをチェックする方式がほとんどである。でも、もはやこの方式も破たんしつつある。

困ったケースが、自分自身を毎日アップデートするタイプ。いくつかのアンチウイルスベンダーは、似たような動作をするマルウェアをまとめてひっかけているが、Symantecなどは無力。毎日更新するマルウェアに対応したパターンが配布される頃には、もうマルウェアが新しく更新されている。

問題のマルウェアは、スパイウェアの一種。オンラインゲームのIDとパスワードを盗み、それを指令サーバに送るらしい。指令サーバは中国国内にある www.gamesrb.comや、www.1a123.comなどから、uu.rar, uu.exe, zz.rar, zz.exe などをダウンロードして更新する。

平和的チベット解放デモに対していきなり実弾で発砲したり、凶暴な暴徒に警官や兵士が扮装して撮影し、チベット解放は悪という世論操作をする国の政府なので、悪意の犯罪者が堂々とサーバを公開していても、なんら対処はされない。何ヶ月も前からずっと活動中だ。前述の通り、アンチウイルスも効果は小さいので、これらのサーバへの接続をフィルタするしか手はない。

さて、SymantecのNorton Antivirusが活動中のこのマルウェアには無力なのは確かだが、他のベンダーの物には検出できるものもある。McAfee, F-Secure, Microsoft, Panda, Sophosなどは検知するようだが、TrendMicroとSymantec, NOD32は検知しない。AVGやClamAVも全然ダメ。カスペルスキーもダメ。おそらく何日かたてば検知するのだろうけど、その頃にはマルウェアが更新されているので、意味がない。

結論。アンチウイルスソフトは、あったほうがいいが過信は禁物。ファイアーウォール機能は有効にして、できれば内部から外部へのフィルターも設定したほうがいい。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です