1998年8月20日
株式会社シマンテック Windows初のポリモーフィック型
コンピュータ・ウィルス『W95.Marburg』のワクチンを提供
〜ウィルス対策ソフトによる検知から巧妙に逃れようとする
同ウィルスに素早い対応を実現〜
ビジネス・パソコンソフトウェア大手のシマンテック コーポレーション〔Symantec Corporation〕(社長兼CEO:ゴードン・E・ユーバンクス・Jr.,本社:米国カリフォルニア州クパチーノ)の日本法人である株式会社シマンテック(東京都渋谷区桜丘町20-1 渋谷インフォスタワー,代表取締役社長:成田明彦)は,Windowsの実行形式ファイルに感染する,新種のポリモーフィック型 注1コンピュータ・ウィルス『W95.Marburg』を発見・駆除するワクチン(ウィルス定義ファイル注2)を,同社のウィルス研究所SARC(シマンテック・アンチウィルス・リサーチ・センター)が開発したと発表しました。このウィルス定義ファイルは同社のホームページやパソコン通信などを通じて,ユーザへ提供されています。
『W95.Marburg』は,Windows 95/98およびWindows NTの実行形式ファイルに感染する32ビットのWindowsウィルスとしては初のポリモーフィック型で,ウィルス対策ソフトウェアによる検知から逃れるように工夫されているのが特徴です。現在,米国,欧州,日本と世界各地で発見が報告されています。また,国内のメーカーのホームページから無料でダウンロードできるツールに感染していたことが確認されており,それをダウンロードしたパソコンユーザは『W95.Marburg』に感染していることが考えられます。感染したアプリケーションを最初の感染から3ヶ月後に起動した場合スクリーン上のいたるところにエラーアイコンを表示し,コンピュータがまるではしかに罹ったようになります。
現在,『W95.Marburg』は2つの亜種が発見されていますが,ほとんど違いはありません。SARCでは同ウィルスへの対応を8月初旬にすでに行いましたが,その後発見された亜種に対応するウィルス定義ファイルをこの度提供開始しました。
シマンテックの主力ウィルス対策ソフト「Norton AntiVirus(ノートン・アンチウィルス)」のユーザは,SARCのホームページ(http://www.symantec.co.jp/sarc)やニフティサーブのシマンテック・ステーション(GO SSYM)からウィルス定義ファイルをダウンロードし,インストールすることにより『W95.Marburg』の検知・駆除が可能になります。
また,Norton AntiVirusはポリモーフィック型ウィルスの検知エンジン「Striker(ストライカー)」を搭載しています。Strikerはユーザのコンピュータ上の"仮想メモリ空間"で暗号化されたファイルを解読し,ウィルスに感染しているかどうかを調べるので,ハードディスクにある他のファイルを危険にさらすこと無く安全にポリモーフィック型ウィルスの検知・駆除ができます。
W95.Marburgについて
W95.Marburgは,Windows 95/98とWindows NTの実行形式ファイルに感染する32ビットのポリモーフィック型Windowsウィルスです(Windows 3.xの実行形式ファイルには感染しません)。但しWindows NT上では,ウィルスが蔓延することはありません。
感染したアプリケーションが起動されると,カレントディレクトリ,Windowsディレクトリ,Windows\Systemディレクトリ上の拡張子が.EXEと.SCR(スクリーンセーバー)のファイルを探し,新たな感染を試みます。メモリに常駐しないため,感染したアプリケーションが実行されなければ,他のアプリケーションに感染することはできません。
自己チェック機能をもつウィルス対策ソフトによる検知を避けるため,ファイル名が"PAND","F-PR","SCAN"で始まるファイルや,ファイル名にウィルス(Virus)の頭文字である"V"を含んでいるファイルには感染しません。また,"CHKLIST.MS","AVP.CRC","IVB.NTZ"といったウィルス対策ソフトがウィルス検知のために必要とするデータファイルを削除します。
W95.Marburgは,Windowsファイルの最後のセクションに自分自身を付加します(Windows実行形式ファイルは,多くの異なるセクションで構成されています。それぞれのセクションにはプログラムやデータを含むことができます。)。ウィルスは,アプリケーションが実行されるとき,必ずウィルスプログラムが実行されるように,アプリケーションに修正を加えます(感染されたファイルのサイズは約5800バイト増加します。)。また,感染済みファイルを見分けるため,感染したファイルのサイズを101で割り切れるように変更します。
感染したアプリケーションを,最初の感染から3ヶ月後に起動した場合,スクリーン上のいたるところに,エラーアイコン(赤い丸の中に白い×印)を表示します。
「w95.Marburgウイルス発病画面はこちらへ」
SARC(シマンテック・アンチウィルス・リサーチ・センター)について
SARCは世界最大のコンピュータ・ウィルス研究所で,日本を含む世界4拠点の研究者が,24時間体制でコンピュータウィルスに関する研究を行っています。ウィルスの解析やウィルス定義ファイルの提供,ファイル・システムの治療・修復に関する研究を行っており,毎月平均300個の新種ウィルスに対応し,最新のウィルスの脅威からユーザを保護しています。
注1:ポリモーフィック型ウィルス
ポリモーフィック型ウィルスは,新しいファイルに感染するたびに異なった方法でウィルスコードを暗号化することで,同じウィルスでも毎回違うウィルスに感染しているように見せるため,従来のウィルス対策ソフトでは検知・駆除が非常に難しいウィルスです。
注2:ウィルス定義ファイル
個々のウィルスの検知・駆除用のデータ。ウィルス対策ソフトはこのデータを利用してウィルスなのか,そうでないかを検知し,駆除するのでユーザは常に最新のデータを入手する必要があります。SARCは業界で初のウィルス定義ファイルの毎週更新を実施し,新種のウィルスへ迅速に対応しています。
・シマンテックコーポレーションについて
シマンテックコーポレーションは、コンピュータ・ユーザに、高い生産性と、安全で信頼性の高い環境をいつでもどこでも提供いたします。シマンテックは、広範なソリューションを提供しており、顧客満足と製品ブランドの高い認知度におけるリーダーとして知られています。同社は、主に、‡@ウィルス対策とPCアシスタンス用ソフトウェアのNortonシリーズ、‡A遠隔地ユーザの生産性を高めるpcANYWHERE、WinFax、ACT!、‡Bインターネット開発ツールCafeシリーズといった3分野のアプリケーション製品群で顧客ニーズに応えています。
詳細は同社ホームページhttp://www.symantec.comをご参照ください。
・株式会社シマンテックについて
株式会社シマンテックは、米国シマンテック社の日本法人として、1994年9月1日に設立いたしました。成長著しい日本のパソコンソフトウェア市場において、市場のニーズや環境にマッチした日本語製品のタイムリーな開発・販売および充分な情報提供のためのマーケティング活動や製品購入前後に渡るサポートの提供を行なっています。
詳細は同社ホームページhttp://www.symantec.co.jpをご参照ください。
*Symantec社の名称、ロゴおよび各製品名は、シマンテック社の米国内での登録商標です。
* その他の商品名などは、それぞれ各社の登録商標または商標です。
News Release Indexへもどる
|
