W95/MTX − 厄介なメール添付型ウイルス
(11/7) MTX専用ウイルス駆除ツールについて追記
(12/9)他のワクチンがすでにに動いているとウイルスが駆除できないことについて追記
W32/Ska.A(Happy99)によく似たタイプの厄介なウイルスが蔓延しようとしている。
JCSAでは、電子メールをよく利用するという方に対して、かならずこのウイルスに備えて対策を立てておくことを強くおすすめする。
さて、このウイルスの特に困った点は次の2点である。
・W32/Ska.A(Happy99)と同じように、メーラーを選ばずに動作(*1)するので、個人ユーザーにも感染および蔓延しやすい。
・いったん感染してしまうと、アンチウイルス関連のホームページで情報を見られなくなる(ウイルスに妨害される)うえ、ウインドウズのシステムファイルなどに大量に感染し、駆除が非常に大変である。
*1:ここで言うメーラーとは、SMTPでメールを送信する、いわゆるもっとも多いタイプのインターネット用メーラーであり、たとえば特定のプロバイダ専用仕様のものや、グループウェアのメーラーのようなものを除きます。(9月29日追記)
ウイルスの解析情報はここに用意してあるので、詳しい情報を知りたいという方は参照していただくとして、現状でとりうる対策を紹介しておこう。
その1:ウイルスプログラムを実行しない。
そんなこと当たり前じゃないか、と言われそうだが、そもそもウイルスをうっかり実行してしまった人がいるから、あなたのところにもウイルスは送られてくるのである。
コンピュータウイルスを作るのは我々と同じ人間である。どういうファイルが一番ダブルクリックされやすいかと言うことは、よく研究しているのだ。
まず最初に気をつけるべきことは、このウイルスは、間違いなく、あなたのよく知っている人から届くであろうと言うことである。W95/MTXは、感染した被害者が、あなたに対して電子メールを送ったときに、同時にウイルスの添付メールを作成して送信してくる。したがって、本来のメールの他に同じ相手からもう1通メールが届くのである。
件名は空白で、添付ファイル名は日替わりである。このへん、ウイルス作者はちゃんと考えている。常に同じ名前だと、ファイル名でウイルスとわかってしまいやすいからである。
ファイル名と日付の関係は次の通りである。
1日 I_wanna_see_YOU.TXT.pif
2日 MATRiX_Screen_Saver.SCR
3日 LOVE_LETTER_FOR_YOU.TXT.pif
4日 NEW_playboy_Screen_saver.SCR
5日 BILL_GATES_PIECE.JPG.pif
6日 TIAZINHA.JPG.pif
7日 FEITICEIRA_NUA.JPG.pif
8日 Geocities_Free_sites.TXT.pif
9日 NEW_NAPSTER_site.TXT.pif
10日 METALLICA_SONG.MP3.pif
11日 ANTI_CIH.EXE
12日 INTERNET_SECURITY_FORUM.DOC.pif
13日 ALANIS_Screen_Saver.SCR
14日 READER_DIGEST_LETTER.TXT.pif
15日 WIN_$100_NOW.DOC.pif
16日 IS_LINUX_GOOD_ENOUGH!.TXT.pif
17日 QI_TEST.EXE
18日 AVP_Updates.EXE
19日 SEICHO-NO-IE.EXE
20日 YOU_are_FAT!.TXT.pif
21日 FREE_xxx_sites.TXT.pif
22日 I_am_sorry.DOC.pif
23日 Me_nude.AVI.pif
24日 Sorry_about_yesterday.DOC.pif
25日 Protect_your_credit.HTML.pif
26日 JIMI_HMNDRIX.MP3.pif
27日 HANSON.SCR
28日 FUCKING_WITH_DOGS.SCR
29日 MATRiX_2_is_OUT.SCR
30日 zipped_files.EXE
31日 BLINK_182.MP3.pif
拡張子(「.」以下の後ろ3文字)がSCRというのはスクリーンセーバーで、EXEというのはプログラムファイルである。なお、「.pif」というのはデスクトップ等の上では普通、表示されないので、TIAZINHA.JPG.pif
というファイルはTIAZINHA.JPGと見える場合もある。ただしアイコンはMS-DOSという文字をかたどったものになっているはずだから判別は可能である。
メールの発信日(届いた日ではない)を確認し、上のリストと照らし合わせ、ファイル名が同じだったら要注意である。
とりあえずメールを出した相手に心当たりを確認してみよう。日付変更線を越えた先からのメールもありうるので、該当日付の前後あたりも気をつけた方がよい。
その2:利用しているアンチウイルス製品のアップデートは今すぐしておく。
このウイルスの特徴として、Webブラウザ(つまりインターネットエクスプローラーやネットスケープナビゲーター)等でアンチウイルス関連のホームページ/ウェブページを見ようとすると、URLからそれを検出され、妨害されてしまうと言うことである。
つまり、最悪の場合は、ウイルスチェッカーのアップデートが不可能になることがあるのだ。
もちろんそれは最悪のケースに限られるのだが、危険は犯すべきではないので、今のうちに最新のデータをダウンロードし、アップデートしておくことをおすすめする。
アンチウイルス製品など、ウイルスに感染してからでも間に合うという考えは、この際捨てた方がよい。
今のうちにインストールすべきである。
もし、感染してしまったら?
それでもうっかりダブルクリックしてしまいました、という方。もしくは、そんなこといわれても、感染してから初めてこの文章を見たんだよぉ、という方。残念であるが、このウイルスの駆除はなかなか大変である。
このウイルスはウインドウズのシステムファイルにも感染し、そしてシステムファイルはシステムが起動している間はシステム自身にロックされており、簡単には削除・修復・上書き等が出来ないからである。
すでにW95/MTXに対応したウイルスチェッカーがインストールされている、という方はウイルスチェッカーとそのサポートに頼っていただくのが一番よいと思う。
問題は、アンチウイルス製品が用意されていない、もしくはアップデートしていなかった、という場合であるが、そういう場合、まず最初にデーターのバックアップをしていただきたい。不幸中の幸いだが、このウイルス自身はデーターを破壊しない。ゆえに、あなたが必要とするデータ(文書ファイル、ワークシート、データベース、画像ファイル、メールアドレス、メール本文、お気に入りブックマークなど。ただしプログラムやDLLなどは感染の危険があるので不可)を他のディスク(フロッピーではつらいと思うので、MOやネットワークドライブなど)に保存しよう。
その際、上記リストにあるようなウイルスファイルを間違えてバックアップしないように注意されたい。
次に、ハードディスクを初期化し、ウインドウズとアプリケーションをインストールする。上書きインストールはおすすめしない。どうしても、という場合は止めないが、ウイルスに感染したファイルがどこかに残ってしまい、1両日中に感染状態に戻ってしまう可能性が高い。むしろ、初期化が嫌なら、新しくハードディスクを1台用意し、それにウインドウズとウイルスチェッカーをインストールして(もちろんアップデートもして)から、感染ディスクをDドライブとして増設し、Dドライブのウイルスを駆除するというのが賢いやり方だろう。この場合、修復の終わった感染ディスクをCドライブに戻して、感染前の環境に戻れる可能性が(保証はしないが)ある。
ウイルス駆除ツール UNMTX
ところで、W95/MTX-mの被害が今後も増えそうな様子であるので、JCSAではW95/MTX専用の修復ツールを作成・配布することにした。
ダウンロードページからUnmtxx.exeをダウンロードしたファイルをダブルクリックし、作られた黄色い救急車アイコンを、さらにダブルクリックして実行するという簡単な動作なので、「あまりパソコンに詳しくなくて」という方にも使っていただけると思う。
ただし、注意していただきたい点が2つある。
(1)このW95/MTX.A-mというウイルス、非常に変な手法でプログラムに感染するため、完全に感染前の動作に戻せるという保証がない。(ケースとしては10000ファイルに1個くらいだが)
特殊な作りになっているアプリケーションの場合はウイルスに感染した時点で実は壊れてしまう。
このようなときはそのアプリケーションだけを再インストールすることで復旧していただきたい。
また、できるならばWindowsの再インストールをお薦めする(この場合は上書きインストールでも再感染はない)
(2)すでに何らかのワクチンがインストールされて動作していると、ウイルスの駆除に失敗して、いくつかのファイルが感染したままになってしまうという現象が起こる。これは、「発見は出来るけど、修復は出来ない」という状態になっているアンチウイルス製品で、やや古い製品や、製品出荷時にすでにインストールされているものに多い。
理由はというとUnmtxが修復のために読み出そうとすると、そのファイルにウイルスを発見して、読み出しを中止させてしまうからである。(まぁ、ワクチンとしては正しく動いているという証拠なんですけどね。)
Unmtxを利用するときは、Unmtx以外のワクチンを、一時的に止めてください。止め方はその製品のマニュアルかヘルプをご覧ください。(12/09追記)