平成11年1月22日

続・コンピュ−タウイルスについて

兵ちゃんの研究室へ戻る

 昨年の終わりに感染が確認されたウイルス2種類についてサンプルが入手できましたので、その実験と前回(11月に)回覧した「コンピュ−タウイルスについて」一部訂正について報告したいと思います。

1 分類の訂正について
  前回、ウイルスの分類にて「システム感染型」と記載しましたが「ブ−トセクタ−感染型」が日本国内では正式な名称になります。物は同じものを指していますが用語として完全に固まっていません。米国→ソフト会社→日本国内へ入り統一の途中ですが「ブ−トセクタ−感染型」が日本国内では正式な名称になります。

2 ウイルス2種の実験
  今回、入手できたのは「Monkey(モンキ−)」と「Laroux(ラル−)」です。それぞれ大きく分類すると「Monkey」はブ−トセクタ−感染型、「Laroux」はファイル感 染型、さらに細かく分類するとマクロウイルスに分類されます。
  実験途中に解ったメ−カ−側のウイルス対策、ウイルス検索要領等も可能な限り調査しました。
  実験に使用したパソコンは研究係個人所有のパソコンで実験機1号(検索、駆除用) 実験機2号(感染確認用)を使用して、2台でLANを構成した完全隔離環境で実施しました。

(1)Monkey
  ア 感染の流れ
    通常、パソコンにフロッピ−ディスクをドライブに入れたままパソコンに電源を入れると「Non-System disk or error」を表示します。フロッピ−ディスクをドライブから抜き、どれかキ−を押すとハ−ドディスクから起動します。使用   者の感覚としては「あ!フロッピ−入れたままだった・・・・」で終わってしまいます。また、起動用のフロッピ−ディスクでフロッピ−ディスクから起動した時は通常の通り起動できます。
    この2つのケ−スでパソコンに電源が入れられフロッピ−ディスクのドライブに読みに行く動作(シ−ク)はパソコンを使用しているとよく行われています。
    この時にフロッピ−ディスクがブ−トセクタ−感染型ウイルスに感染していたらメモリ−上にウイルス(Monkey)が常駐します。フォ−マットしただけのフロッピ−ディスクでは「Non-System disk or error」を表示とともにメモリ−上に常駐、フロッピ−ディスクをドライブから抜き、どれかキ−を押すとハ−ドディスクから起動、ハ−ドディスクに感染します。また、起動用のフロッピ−ディスクでフロッピ−ディスクから起動した時は、通常の通り起動しウイルスはメモリ−に常駐、ハ−ドディスク(フォ−マット済み)を読みに(アクセス)した時にハ−ドディスクに感染します。
    以降、ハ−ドディスクに感染したウイルスはパソコンが起動する度にメモリ−上に常駐しフロッピ−ディスク等を読みに行くとそのディスクに感染します。
    ブ−トセクタ−感染型ウイルスはLAN等のネットワ−クで接続されたドライブには感染しません。

イ 検索方法
    「ウイルスバスタ−98」等の検索や駆除ができるソフトをパソコンにインスト−ルするのが一番簡単です。
    フロッピ−ディスクを検査する時に役に立つのが図2の「FDブ−ト検索」この機能を使えばフロッピ−ディスクのブ−トセクタ−感染型ウイルス発見に効果があります。また、ハ−ドディスクやフロッピ−ディスクに感染しないか常に監視してくれます。
    ブ−トセクタ−感染型ウイルスはLAN等のネットワ−クで読みに(アクセス)しているドライブを検索する事はできません。
Monkeyの場合は、パソコンのハ−ドディスクをソフト無しで感染の有無を確認するには感染していない起動用のフロッピ−ディスクで起動した後にハ−ドディスクが見えれば感染していないと考えて良い。



  ウ 各メ−カ−の対策と感染兆候
    マザ−ボ−ドの場合、マザ−ボ−ドによって、BIOSのSETUPの中に「Virus Warning」という項目があり、この項目を有効にしておくとIDEのハ−ドディスクに限り「ピコピコ・・・」音を発しながら警告をしてくれます。図3の様な表示がでたら電源を切る事により感染を防止できます。

    「ウイルスバスタ−98」等の検索や駆除ができるソフトをパソコンにインスト−ルしていれば図4の様に知ら   せてくれます。この表示が出た時はすでに感染した状態でデ−タ−をパソコンから取り出し駆除を始めなければいけません。また、パソコンが感染していない状態でこのソフトをインスト−ルしてあれば、Windows95/98が起動し   た状態で感染したフロッピ−ディスクを読み込もうとすると図5の様な表示が出て感染フロッピ−ディスクだと警   告を発してくれます。ウイルスバスタ−98を起動し検索した後に、クリックしていけば駆除でき、感染する事は   ありません。
   Windows95/98の場合は図6のようになります。感染の恐れがあると警告します。この表示が出たら感染したという事です。速やかにデ−タ−をパソコンから取り出しウイルスを駆除しましょう。Normalモ−ドで起動しても、SCSIカ−ドが使用できない状態や、Safeモ−ドでしか起動できない等の不完全状態でしか起動できない事があります。

   エ 感染状態
     感染したパソコン上からFDISKを実行し領域情報を表示したのが図7、感染していないフロッピ−ディスクで起動後FDISKを実行したのが図8です。
     感染したウイルスがメモリ−に常駐しウイルス感染の痕跡を隠す性質を「ステルス」と呼び図8の様にディスク情報がでたらめな表示をする事を「暗号化されている」と言っています。
     気が付いた点は、感染した状態で起動しても実験機に付けているSCSIカ−ドはWindows95/98が起動    した状態では、使用できなかった。ウイルスによりファイルシステムが変更されたせいと思われる。また、Windows95/98が起動した状態でドライブへのアクセスはMS-DOS互換モ−ドでアクセスしていました。
     感染したハ−ドディスクにより他への感染が違う事が解りました。IDEのハ−ドディスクに感染したらフロッピ−ディスクにアクセスする度、感染するのに対してSCSIハ−ドディスクは、いくらフロッピ−ディスクにアクセスしてもフロッピ−ディスクに感染できなかった。条件としてサンプルウイルスがそうだっただけか、Windows95/98がMS-DOSとの互換性の問題か、他のウイルスは?様々な疑問がありますが、今回のMonkeyはそういう結果でした。
     図7の状態からプロンプトに戻りFDISKのコマンド「/MBR」を実行しマスタ−ブ−トレコ−ドを上書きしたらやはり定説どおり起動しなくなった・・・・・
     そこで裏技登場!このウイルスの暗号化・複合化の性質を利用しパソコンをとりあえず起動させる方法を見つけました。パソコンを起動する前に感染したフロッピ−ディスクをドライブに入れておきパソコンに電源を入れる「Non-System disk or error」が表示されウイルスはメモリ−に常駐、フロッピ−ディスクをドライブから取り出し、どれかキ−を押すとハ−ドディスクから起動する事がきました。デ−タ−を避難させるのに有効と思います。

(2)Laroux
  ア 感染の流れ
    Larouxはプログラムファイルに感染するウイルスではなくデ−タファイルに感染するウイルスです。アプリケ−ションソフトのマクロを利用して感染するのでマクロウィルスと呼ばれています。今回のサンプルLarouxはMicrosoft Excelのマクロに感染するマクロウイルスです。
    Microsoft Excelを実行しファイルを開きます。開く事により同時に自動実行するマクロが働きデフォルトで開かれるファイルPERSONAL.XLSに感染します。感染ファイルを開くとSheet1が見えなくマクロにLarouxの記述が見れます。     
    このウイルスはファイルを開く事により感染しLAN等のネットワ−クを介してファイルを開く事により感染します。感染する対象ソフトはMicrosoft Excel Version 5.x、95、97のファイルに感染します。

  イ 検索方法
    「ウイルスバスタ−98」等の検索や駆除ができるソフトを使用するのが一番簡単です。LAN等のネットワ−クで接続(アクセス)しているドライブを検索する事もできます。

ウ 各メ−カ−の対策と感染兆候
    マイクロソフトのマクロウイルスに対策は2つあります。Microsoft Excel 97でマクロの自動実行を警告する図10の機能がつきました。Microsoft Excel 97をパソコンにインスト−ルしたデフォルトの状態で有効になっています。
2つ目は、Laroux ウィルスを検出し除去するためのユーティリティ「Microsoft Excel ウィルス検出アドイン バージョン 2.0」があります。このアドインを組み込む事により感染ファイルの検索、駆除とLarouxに対して感染防止することができます。
    アドインの組み込みはxlscan97.exeを入手し実行します。実行したらMicrosoft Excel 97を動かし図11のようにツ−ルのアドインをクリックし図12のMicrosoft Excelウイルス検出アドインを有効にします。オプションをOKをクリッ   クするとアドインが実行(図13)されます。以後ツ−ルのウイルス検出が表示され(図14)検索、駆除の機能が使用できます。注意しなければならないのはこのアドインはLarouxのみに有効で他のマクロウイルスは対応しいていません。
    マイクロソフトの考えは、ウイルス対策は市販の他社製品、ウイルス検索、駆除ソフトを使用してほしいそうです。



   エ 感染状態
     感染したパソコンではエクセルのファイルを開く度に他のエクセルファイルに感染していきます。Larouxの場合マクロに「Auto_Open」「Check_Files」「PERSONAL.XLS!auto_open」「PERSONAL.XLS!check_files」の4つがあり感染する時にこのマクロが他のファイルにコピ−されて行きます。

   オ 駆除
     エクセル上で感染ファイルを開き、 開くときにマクロを無効にして開く、図16のマクロを削除すれば無害化できます。
     一番安全で他のマクロウイルスに対しても有効な方法はやはり「ウイルスバスタ−98」等の検索や駆除ができるソフトを使用するのが簡単で安全です。LAN等のネットワ−ク上からも検索し駆除する事が可能です。駆除したファイルはマクロが削除されます。

3 ウイルス検索、駆除ソフトについて
  ウイルス検索用ソフトで統計を見ると一番普及し検索実績があるソフトは「ウイルス バスタ−98」です。このソフトをパソコンにインスト−ルして使用している人もいる と思いますが、パソコンにインスト−ルしただけではあまり効果的とは言えません。頻 繁にアップデ−トされて新しいウイルスに対して検索機能、駆除を強化しています。実 際にアップデ−トしたらウイルスに感染していた事が解ったという例もあります。
  ソフトの使い方としては、こまめにアップデ−トして使うのが正しいソフトの使い方 です。アップデ−トするのは2種類あり、検索プログラム等のアップデ−トと検索パタ −ンのアップデ−トがあります。検索パタ−ンのアップデ−トは早い時は1週間でアップデ−トされます。

4 調べた内容と実験で気が付いた点
  マクロウイルスとは、過去にファイル感染型ウイルスはプログラムファイルしか感染 しないと言われていた物が、デ−タファイルにも感染するようになった比較的新しいウイルスです。Windows95の登場やMS-Word、Excelの普及とパソコンの使われ方の変化により過去の常識は現在の非常識?のように変わっている。統計の資料では、他のファイル感染型ウイルスとブ−トセクタ−感染型ウイルスを含めてもマクロウイルスによる感染の報告が年々増加しています。
  資料の中に「Windows上でも感染する・・・」とか表記してありWindowsとは?現行 のWindows98?実はWindows3.1を指していたり、資料そのものが古かった例もありました。
  予防策として、あらゆるウイルスに対しての防御は古典的ですが、例として1週間毎にデ−タ−を大容量ディスク等に記録して数ヶ月分保管する方法等、バックアップを取る事がかなり有効です。また、職場等のパソコンを考てみるとフロッピ−ディスクを使い廻したりLANを使用している環境が想定できますが、何台かに1台の割合でウイルス検索・駆除ソフトをパソコン上にインスト−ルしておくだけでも、感染から発見まで時間がかかりますが割合分の効果があると思います。

 今回の内容について
 11月に回覧してから、職場で預かっている骨董品の官品パソコン、異機種を含めて約90台をウイルス検索したノウハウや、ファイル1冊分の資料を元にして実験しました。 ウイルス感染に怯える事なく対応方法の普及を目標にまとめました。

 ウイルスを発見した時の参考にでもなれば幸いです。

1999.01.22  兵ちゃん