ファイル感染型ウイルスは作成のハードルが高いこともあり、新種の登場に関しては減少傾向にあります。先月5月にトレンドマイクロでは約16000種の新種不正プログラムに対応しましたが、その中でファイル感染型ウイルスはほんの0.5%、80種前後に過ぎませんでした。
しかし、この減少傾向の中で敢えて作成されるファイル感染型ウイルスはより強力な活動を目指すものになっています。特に現在のウイルス作成者は駆除処理を困難にさせることに注力しているようです。
「PE_VIRUT」ファミリーは2006年に登場したファイル感染型ウイルスですが、今年4月に入って「PE_VIRUT.H」、「PE_VIRUT.K」、「PE_VIRUT.L」、「PE_VIRUT.NS」など複数の新しい亜種について各地で感染報告がありました。これらの亜種はEPO(Entry Point Obscuring)という感染手法を複雑化して駆除の困難化を試みていました。EPOとはファイル感染の際によく行われるエントリポイントの改変を行わずに感染する方法です。現在では感染したウイルスコードの特定に時間をかけさせる効果があります。
続いて、今年4月に登場した「PE_CORELINK」ファミリーは自身の感染後に感染ファイルを暗号化します。感染ファイルが暗号化されると駆除処理の前に暗号化を復号化する必要が生じるため、駆除処理を困難にさせることができます。特にこの6月4日に確認された「PE_CORELINK.C」は日本でも感染報告があり、現在でも注意が必要です。
EPOは2000年に登場し猛威を奮った「PE_MTX.A(通称:マトリックスウイルス)」が初めて使用したとされる感染方法です。また、感染対象を暗号化する手法は「MONKEY」など古いDOS時代のシステム感染型ウイルスから存在しています。どちらも特に新しい手法ではありませんが、より複雑化されることにより対応に時間がかかる場合があります。駆除処理を遅らせることにより感染被害を広める狙いは以前のウイルスと同様でしょう。それに加え、「ストレーション」から始まったシーケンシャル攻撃と同様に、駆除処理と対応に時間をとらせ、その間により多くの不正プログラムを送り込むことが真の狙いと考えられます。実際に「PE_VIRUT」の亜種群や「PE_CORELINK.C」には感染活動だけではなく、外部サーバからのダウンロードを行う活動が含まれています。すべては「Webからの脅威」につながるといったところでしょうか。
