「原田ウイルス」について

 1月24日、京都府警生活経済課ハイテク犯罪対策室と五条署が、ファイル交換ソフト「Winny」を通じて拡散されたウイルス「通称:原田ウイルス」の作成者を著作権法違反容疑で逮捕したと発表しました。

 京都府警と調査に協力したコンピュータソフトウェア著作権協会(ACCS)の発表によれば、同ウイルスはテレビアニメーション「CLANNAD- クラナド -」の静止画像を利用したウイルスであったとことを明らかにしています。

 本投稿では、逮捕者が作成したとされるウイルス「通称:原田ウイルス」について技術的側面から振り返ってみたいと思います。

 実行すると「原田」と名乗る人物の画像や動画などを表示する不正プログラムの流通が確認されました。

図1 TROJ_VB.WLの起動により表示される画像
図1 TROJ_VB.WLの起動により表示される画像(写真部はマスク加工済み)

 「原田ウイルス」とは、複数のウイルスに対する総称です。具体的な活動やプログラムの構造や詳細な振る舞いから、大きく4つのカテゴリに整理することが可能です。

図2 「原田ウイルス」の系統図
図2 「原田ウイルス」の系統図

  1. ウイルス作成ツール「HKTL_DESTROYER.B」

    2.  「原田ウイルス」が拡散したきっかけとなったのが、ウイルス作成ツールである「HKTL_DESTROYER.B」(通称:P2P-Destroyer Pro)であると推測されます。

     トレンドマイクロでは悪用されていることを考慮し、2006年7月20日よりその検出に対応いたしました。

     「HKTL_DESTROYER.B」は起動すると下記のようなGUIを表示します。

    図3 HKTL_DESTROYER.Bの起動により表示されるGUI
    図3 HKTL_DESTROYER.Bの起動により表示されるGUI

     このツールを利用して、ファイルの削除などを行う不正プログラムを作成することができます。「原田ウイルス」の作者は、下記のようなテキストファイルを埋め込み(バインド)、同時にファイル名をP2Pファイル共有ソフトのネットワーク中で流通している動画や有名アニメのタイトルに偽装したと推測されます。
    * 「原田ウイルス」と総称された所以は、このテキストファイルの内容にあるものと考えられます。

     動画ファイルに偽装されたウイルスは、作者が指定したサイズで生成されます。生成されたウイルスをWinny、ShareなどのP2Pファイル共有ソフトのネットワークに放流したり、Webサイトへアップロードすることで拡散させました。

    伝説の男原田<省略>参上!!
    今すぐここにTELだっ!
    さもないと、原田<省略>が君の家にやってくるかも!
    TEL054-<省略>-8900(笑)
    このファイルは原田ウィルス付きですぽ
    すでにあなたの情報は世界中に漏れてますぽ
    だからP2Pは早くやめろよ!
    ..このファイルは捏造です。
    今すぐP2Pをやめなさい
    でないと、原田<省略>があなたのお宅にやってきます
    TEL077<省略>-2809(嘘)
    この捏造ファイルはウィルス付きですよ
    すでにあなたの情報は世界中に漏れてますよ
    だからP2Pは早くやめろー!
    図4 作成されたファイルに含まれている可能性のあるテキストファイル

  2. 不正活動を行うウイルス 「TSPY_HARADONG」、「TSPY_DENUTARO」ファミリ

    3.  「HKTL_DESTROYER.B」によって動画ファイルに偽装されたウイルスが「TSPY_HARADONG」、「TSPY_DENUTARO」ファミリです。

     これらのウイルスは、下記のような活動を行います。

    図5 「TSPY_HARADONG」、「TSPY_DENUTARO」ファミリの主な不正活動
    図5 「TSPY_HARADONG」、「TSPY_DENUTARO」ファミリの主な不正活動

  3. 不正活動を行うウイルス 「TROJ_KILFILE」ファミリ

    4.  「TROJ_KILFILE」ファミリは原田ウイルス流行以前より報告されている、正当なファイルを削除する動作だけを持つウイルスです。しかしながら、「TROJ_KILFILE.AF」は1.の「HKTL_DESTROYER.B」によってファイルサイズの可変が行われた亜種であると推測されています。

  4. 不正活動を行うウイルス 「TROJ_VB.WL」

    5.  ウイルスの実行日時をFTPサーバへ送信するという機能に加え、サイトから「HARADA.avi」というファイルをダウンロードし、動画再生ソフトを利用してそのファイルを自動再生します。

     しかし、このウイルスは2.または3.とは異なり、1.の「HKTL_DESTROYER.B」によるファイル名の偽装工作や、画像の表示といった活動が確認されていません。動画ファイルを「原田ウイルス」の流行に由来して命名した便乗型のウイルスであったと推測されます。

コンピュータウィルス作者の逮捕をうけて

 ここまで「原田ウイルス」の概要を紹介しましたが、このたび逮捕された容疑者がどの段階においてウイルス作成に関与していたのか、などの詳細は現段階で公開されている情報からははっきりと推測できません。

 今後の捜査や裁判を通じて、背景を含めて明らかになっていくことを祈念しています。

 今回の逮捕を受け、注目すべきは、やはりその逮捕理由でしょう。

 欧米諸国、中国/韓国においては、法律でウイルス(不正プログラム)を定義しており、コンピュータウイルス作成を犯罪とする法整備が進んでいますが、残念ながら日本においては、ウイルス作成そのものを立件する法律が存在していません。今回のウイルス作者の逮捕においても、感染時に表示させるアニメ画像に対する「著作権法違反容疑」であった点に、捜査当局の苦心が伺えます。

 トレンドマイクロは、デジタル情報の信頼を脅かす存在には、公共利益の視点で今後も強い態度で臨んでいきます。

 また、「Webからの脅威」を中心としたインターネット上の脅威に対するソリューション/サービスを迅速に提供していきます。ユーザの皆様におかれましては、この機会に改めて

  • 総合セキュリティソフトの利用
  • OSの脆弱性の速やかな修正
  • 不審なファイルは開かない
  • ファイル共有ソフトの利用の検討
  • 常に最新の脅威情報を収集

といった点を今一度、ご確認ください。

 最新の脅威情報については、是非本ブログをご活用いただければと思います。本ブログではリージョナルトレンドラボの一員であるウイルス解析担当者が、皆様のリテラシー向上にお役立ちいただけるセキュリティ情報を配信してまいります。

Related posts:

  1. YouTube悪用ワーム
  2. 「MS07-060」を攻撃する不正Word文書ファイル
  3. 2007年12月度 アプリケーションの脆弱性に関するラウンドアップ
  4. 復旧せよ!偽セキュリティソフト被害端末