JPEGファイルに感染するPerrun

◆概要：
　Perrunは新しいタイプのウイルスで、JPEGファイルを介して拡散する能力を持っている。当該ウイルスはVisual Basic 6.xで書かれており、UPX圧縮されている。Perrunは電子メールやファイル共有ネットワーク、フロッピーディスク、IRC 、その他のファイル共有メ

国際海外情報

2002年6月28日（金） 12時00分

◆概要：
　Perrunは新しいタイプのウイルスで、JPEGファイルを介して拡散する能力を持っている。当該ウイルスはVisual Basic 6.xで書かれており、UPX圧縮されている。Perrunは電子メールやファイル共有ネットワーク、フロッピーディスク、IRC 、その他のファイル共有メディアを介して他のコンピューターに感染する。

　Perrunは、解凍コンポーネントとJPEGファイルに含まれている悪意のあるコードの2つのコンポーネントで構成されている。通常「extrk.exe」という名前の解凍コンポーネントがまずコンピューターにインストールされ、続いて、この解凍コンポーネントをJPEGファイル実行にフックするためにWindowsのリジストリを次のように変更する。このJEPGファイルにはウイルスコードが含まれているため、この解凍コンポーネントによってコードが抽出される。

HKCRjpegfileshellopencommand
(Default)=Current Directoryextrk.exe %1

　いったん解凍コンポーネントがリジストリにフックされると、JPEGファイル内の悪意のあるコードが解凍され、乗っ取られたコンピューター上で実行される。感染しているJPEGファイルのサイズは、多くの場合11,780バイトである。悪意のあるコードが実行されると、感染しているJPEGファイルが存在しているディレクトリーと同じ場所にあるJPEGファイルの1つに感染するが、感染を隠蔽するために元のJPEGファイルを表示する。

　Perrunはコンセプトプルーフタイプのウイルスとしてとらえられており、現時点では広く拡散するとは考えられない。この悪意のあるコードの最初の1つは、もともとネットワークアソシエイツ社にPROOF.EXEとして送信されたものだ。

◆別名：
W32/Perrun、Perrun、W32/Alcop@MM、Alcop

◆情報ソース：
・ Network Associates Inc./McAfee.com ( http://vil.nai.com/vil/content/v_99522.htm ), June 13, 2002
・ AVIEN ( http://www.avien.org/ ), June 13, 2002
・ iDEFENSE Intelligence Operations, June 13, 2002

◆キーワード：
　Virus: File infecting Virus: Script

◆分析：
　（iDEFENSE 米国）JPEGベースのこの新しいウイルスは、数多くのウイルスを作成しているAlcoPaulが作成したものと思われる。今のところ、彼のウェブサイトにはこのウイルスのサンプルがないが、近いうちにアップされる可能性が高い。AlcoPaulは、最近画像ファイル（JPEG、GIF、BMPなど）の感染方法を発表したばかりだ。

　Perrunの名前は、このウイルスが一回のルーチンで1つのJPEGファイルに感染する（once per each routine run）ところから来ているが、多くのファイルを一度に感染できるよう簡単に修正できる。さらに、今までは安全だと思われていた他の形式のファイルも、当該ウイルスのような方法を用いて攻撃することができる。

　ネットワークアソシエイツ社では、デフォルトモードでJPEGファイルをスキャンする計画はない。画像ファイルをスキャンすると、アンチウイルスのスキャン速度が大幅に低下してしまう。当該ウイルスのような悪意のあるコードが拡散し、深刻な問題を引き起こすようになると、アンチウイルスベンダーとしても新しいアルゴリズムとヒューリスティックを開発してすべての媒体を適切にスキャンする必要に迫られる。

◆検知方法：
　extrk.exe、proof.exe、およびサイズが11,780バイト増加したJPEGファイルを検知する。

◆リカバリー方法：
　Perrun関連のWindowsリジストリキーを全て削除し、クリーンなバックアップコピーを使って破壊・破損したファイルを修復する。感染したJPEGファイルだけでは、解凍コンポーネントであるextrk.exeが対象コンピューターにインストールされていなければ感染力はないが、上記のような攻撃を受けた場合は複数のJPEGファイルが感染している可能性もあり、通常のファイル転送を介して複数のコンピューターに簡単に感染する危険性がある。そのため、画像ファイルなどのタイプからこの種のウイルスを完全に撃退するのは、かなり困難になる。

◆暫定処置：
　全ての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。JPEGファイルのように、今まで安全とされていたファイルタイプのセキュリティを盲信しないことである。悪意のあるコードの作成者は、当該ウイルスのような新しいタイプの悪意のあるコードや二重拡張子などのトリックなど、ユーザーが知らないうちに乗っ取られてしまうようなさまざまな方法を試みる。あらゆる形式のファイルが感染している可能性があることに留意して、クリーンであることを確認することが重要である。

◆ベンダー情報：
　現在、ネットワークアソシエイツ社のアンチウイルスソフトウェアで、この新しい悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこのPerrunを検知できる可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【18:08 GMT、06、13、2002】

《ScanNetSecurity》