■　広義のウィルスの種類

最近は、「パソコン利用者の意志に関わらず不利益をもたらす「不正プログラム」全般を「広義のウィルス」と言っています。その分類もいろいろとあり、決まったものはありませんが、感染の違いや増殖方法の違いなどで分類しているのが一般的のようです。

広義のウィルスを「ファイル感染」の側面から分類してみますと、以下のような分類になります。

●狭義のコンピュータウィルス

狭義のウィルスの定義は、第三者のプログラムやデータベースに対して、意図的に何らかの被害をおよぼすように作られたプログラムであり、次の機能を一つ以上有するものとされています。

[1]自己伝染機能

自らの機能によって他のプログラムに自らをコピーし、又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能。

[2]潜伏機能

発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能。

[3]発病機能

プログラム、データ等のファイルの破壊をしたり、設計者の意図しない動作をするなどの機能。

この種のウィルスには、感染する場所の違いによって、プログラムファイル感染型、ブートセクタ感染型、複合感染型、マクロ感染型の４つに大別できます。後でその事例を述べます。

●トロイの木馬

有益なプログラムに見せかけて、ユーザの個人情報やアカウントを盗んだり、ディスクのフォーマットやファイルの破壊を行います。ウィルスのような感染や自己増殖の活動は行いません。

例：TROJ_PRETTY_PARK

ネットワークやE-mail、News Groupを通じて他のマシンに増殖を広げます。ワームプログラムが実行されるとレジストリを変更して他のプログラムが実行されると、必ずこのプログラムが実行されるように設定します。自分自身を添付したメールをインターネットアドレス帳に登録されているアドレスに30分毎に勝手に送信します。

また、ワームの作者に「ユーザが操作を受けられる状態である」ことを知らせるために、複数のIRCチャンネルに接続を試み、作者にシステム情報とパスワードを送信します。さらに、「TROJ_BKDOOR」のサーバープログラムとして機能し、作者はこのプログラムを通じてユーザのマシンからインターネット接続のためのダイヤルアップ先電話番号、ログイン名、パスワード、ＩＣＱ登録番号システムのドライブとディレクトリ情報を取得可能にします。

また、ユーザのマシンのファイルやディレクトリを勝手に作成・削除することが実行可能になります。

●コンピュータワーム

ワームとは、単独で自己増殖する不正プログラムであり、ネットワーク環境を利用して感染するものを言います。ウィルスが他のプログラムに寄生して感染・増殖していくのに対してワームはそのような寄生対象（宿主）を必要としません、自己の能力で「タスク間通信」などと呼ばれる技術を用いてネットワーク内を移動して他のコンピュータに感染していきます。

つまり、ネットワーク環境にあるシステムさえ稼動していれば急激に増殖することが可能です。ワームについては、後で種類と事例を述べます。

■　狭義のウィルスの種類

狭義のウィルスは、感染する場所の違いによって、次のように分類されています。

●プログラムファイル感染型

ファイルには、データファイル（ワープロソフトや表計算ソフトで作成したデータなど何らかの情報を格納したファイル）とプログラムファイル（コンピュータに命令を出して何らかの仕事をさせるファイル（.COM／.EXE等の拡張子を持ったファイル）があります。

このプログラムファイルに感染するウィルスです。プログラムファイルにウィルスプログラムを追加するタイプ（追記感染型）とプログラムを書き換えてしまうタイプ（上書き感染型）があります。

例：PE_MARBURG

Windows95/98を感染対象としたウィルスです。感染ファイルが実行されると32ビットEXEファイルを探し出し、そのファイルに感染します。感染ファイルのＰＥヘッダーは変更されていないように見せ、また自分自身のメインウィルスコードを暗号化するミューテーション型ウィルスです。

被害症状は、Windowsの使用する標準のエラーアイコン（赤丸に白い×印）を画面のあちこちに無作為に表示させます。（図参照）

また、アンチウィルス製品での発見をさけるため、「ANTI-VIR.DAT」、「CHKLIST.MS」、「AVP.CRC」、「IVC.NTZ」ファイルを削除するという行為も行います。

●ブートセクタ感染型

コンピュータが起動するとき、ディスクから最初に呼び込まれるのがブートプログラム（起動プログラム）です。このプログラムがあるブートセクタ（システム領域）に感染するウィルスです。ハードディスクの場合、ディスクの区画情報があるマスターブートセクタ（パーティション・テーブル）に感染するタイプが多くあります。

例：ANTICMOS

ウィルスに感染したフロッピーディスクでマシンの起動動作を行うとハードディスクのシステム領域（マスターブートレコード）に感染し、感染したハードディスクでマシンを起動すると、メモリに常駐してファイルの入出力を監視します。

その後、書き込み可能なフロッピーディスクにアクセスすると、そのブートセクタに感染します。

被害は、システムのハード環境によっては、ＣＭＯＳ設定を変更してしまうことがありますが、この場合ウィルスが完全に常駐する前にシステムはハングアップしてしまいます。

●複合感染型

プログラムファイル感染型とブートセクタ感染型の両方の特徴を併せ持っているウィルスです。

このタイプのウィルスは、ウィルスに感染したファイルを実行すると、ハードディスクのブートセクタに感染し、次にコンピュータを再起動するとメモリにウィルスが常駐し、実行されたプログラムに次々と感染する、というように感染力がきわめて強いウィルスです。

例：FLIP

感染プログラムを実行すると、メモリの上位に常駐し、常駐後は.COM、.EXEファイルに感染します。感染したシステムはアロケーションエラーを起こし,結果としてファイルリンケージエラーを起こします。

感染症状は、表示画面が逆さまになることがあります。（図参照）

●マクロ感染型

アプリケーションソフトのデータファイルに含まれるマクロを利用して感染・発病します。マクロ機能はハードウェアやＯＳに依存しないため、同じアプリケーションソフトが動作していれば、どんな環境でも感染・発病します。

データファイルは、電子メールで添付ファイルとして送付できるため、極めて感染スピード、拡散力が強いウィルスです。

例：W97M_MELISSA

Word97/98/2000の文書に感染します。また、Word97/98のマクロウィルス保護機能を無効にし、またWord2000ではセキュリティレベルを低に変更してしまいマクロを含む文書を開く場合でも警告メッセージが表示されなくしてしまいます。

発病活動は２種類あります。
１：MicrosoftのOutlookに自動ログインして、Outlookが使用するユーザ情報を探しアドレス帳に登録されている50ユーザに対しメールを作成、ウィルスに感染しているword文書を添付して送信してしまいます。この処理はバックグランドで行われ画面上には現れません。このメール自動送信は最初の一度のみ発生します。（図参照）
２：ウィルス感染源となった元のwordファイルを、感染した日付と同じ数字の時刻に開くと、カーソルのある位置に、「Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game is over. lm outta here」という文書が勝手に書き込まれます。

コンピュータワームを感染方法から次のように分類されます。

●スクリプト型

電子メールシステムが持つスクリプト言語を使用し、添付ファイルではなくメッセージに付随します。

システム固有のスクリプトを使用するため、そのプラットフォーム以外に広がることはありません。

例：VBS_Bubbleboy

添付型とは異なり、メールそのものがウィルスとして機能し、メールを開くと自動的にウィルスが活動を開始します。送信されるメールは下記の内容で、HTML形式で送信されます。

マシン起動時に自動的に実行され、Outlookのアドレス帳に登録されているメールアドレス全てに対し、ウィルスメールを自動的に送信します。このウィルスメールの配信は一回のみ行われ、感染メールの配信が終了すると以下のメッセージを表示します。

ただし、InternetExplorer5とWSH（Windows Scripting Host）がインストールされているマシンでのみ動作します。


●添付型

自己増殖するため、メールシステムを利用し、添付ファイルとして自分自身を他のコンピュータに送り込みます。

プラットフォームを選ばずメールが使える環境であれば、どこでも侵入することが可能です。

例：TROJ_SKA（Happy99）

メール送信時やニュースグループへの投稿時にワーム自身を添付することによって拡散します。

ワームを実行すると花火が表示されます（図参照）。花火が表示されている間にワームは\Windows\Systemディレクトリに「SKA.EXE」という名前で自分自身の複製をつくります。

次に\%Systemroot%\Windows\Systemフォルダ内の「WSOCK32.DLL」を修正して「WSOCK32.SKA」という名前で複製を保存します。

ワームによって修正された「SOCK32.DLL」は、マシンがメールを送信しようとする動作を監視し、送信時に「HAPPY99.exe」あるいは「HAPPY00.exe」を自動的に添付して送信します。

●ネットワーク型

ＩＲＣのＤＣＣプロトコルやＴＣＰ／ＩＰ、ＦＴＰプロトコルなどの、電子メールとは異なる通信プロトコルを使用して感染を広げる不正プログラムです。

例：VBS_FREELINK

MicrosoftOutlook及びIRCソフトのMIRC、PIRCHで感染を広げるワームです。また、マッピングされたネットワークドライブにもファイルを自動的にコピーするという非常に高い増殖力を持っています。

ワームを実行すると、下記のメッセージを表示し、YESと答えるとショートカットがデスクトップ上に作成されます。このショートカットは、「http;//www.sublimedirectory.com」というサイトへのリンクです。

また、ワームはマッピングされたネットワークドライブを探し、そのドライブのルートディレクトリにワームファイルをコピーします。

さらに、ワームはOutlookに登録されているアドレスの全てに対して「LINKS.VBS」を添付したメールを自動的に送信します。宛先はBCCフィールドに記述されています。

そして、大量に送信したメールを送信済アイテムボックスから削除し、ユーザから行動を隠します。また、レジストリエントリを編集しワームがwindows起動時に実行されるように設定します。

ここで紹介したウィルス発病画面以外の他のウィルス発病画面もあります。ご覧になりたい方は、ウィルス発病画面の事例紹介を参照して下さい。
また、個々のウィルスの感染方法・発病症状などの詳細をしらべたい方は、ウィルス百科事典を参照して下さい。