タイトルだけ見て、おーラブリー、と思いつつ(不謹慎だけど)、記事を見たわけですが。
・アイコンを「パンダ」にするウイルスが蔓延、Webアクセスで感染(ITpro/日経BP)
スクリーンショット見ると……、パンダ…か?
まぁパンダだと言われればパンダな気はする。
しかし、言われないとただの模様のような…。
記事の内容見ると、ウィルス自体は結構凶悪。
感染すると「別のウイルスを生成して実行」し、「パソコン上で動作している特定のセキュリティソフト/サービスを強制終了させる」。
更に「パソコンに保存されているWebページ(HTMLファイル)を改変(Windowsのぜい弱性を突いてFujacksを勝手にインストールするようなHTML文を挿入する)」する。
改変されたHTMLを知らずに自分のサイトにアップロードすると、それを見た人も感染する、と。
「別なウィルスを生成して実行する」というのは、比較的新しいボットネット用のウィルス(スパイウェア、トロイの木馬)の特徴だと思うのだが、でもアイコンが全部「パンダ」になるなら、在る意味わかりやすいウィルスではあるな。
うーん?
作者の意図が微妙にわからないな。
なんでわざわざ自己アピールする(パンダアイコンの表示)んだろう…。
試作品だから、とか?
…うーん?
まぁ…、WindowsUpdateをちゃんとしましょう、と。そんなシメかな。
2月8日追記
・「お祈りパンダ」ウイルス、中国で猛威をふるう(CNET Japan)
CNETにこんな記事。
はてな?、と思ったので調べてみたがイマイチ確信持てず。
「Worm.Nimaya」「Worm.WhBoy.h」というのは中国内での呼称らしく、シマンテック等を見てもヒットしない。
ただ「パンダが手をあわせてる」という特徴が類似してるし、シマンテックのデータベースにある「W32.Fujacks.E」情報には特徴として、
標的のコンピュータ上に他の脅威をダウンロードしてインストールしようとします。ダウンロードされるファイルのリストは、次の URL にある管理 Web サイトから入手されます。という記載がある。
[http:]//www.whboy.net/update/wo[削除済み]
・Symantec Security Response - W32.Fujacks.E(シマンテック公式)
「www.whboy.net」からファイルを落とすから「Worm.WhBoy.h」と命名されたと考えるのは自然なので、「Worm.WhBoy.h」=「W32.Fujacks.E」でいいのかな?
うーむ、と悩みながら調べてると、マカフィーには、こんなんが。
・マカフィー株式会社/セキュリティ情報(W32/Lewor.a)
・マカフィー株式会社/セキュリティ情報(W32/Fujacks.worm)
「W32/Lewor.a」の特徴はCNETの記事そのままなので(bbs.qq.com云々)これのことかな。
じゃ「Fujacks」との関係性は??
…ということで「発見日」のほうに注目すると、W32/Lewor.aが11月、Fujacksは12月なので、先に「Lewor.a」があって、その亜種(ウィルスにはよくある手口の流用)として一連の「Fujacks」が出てきたのか?
だとすると、「パンダアイコン」の類似性も説明できるか…。
この辺の関係性について横断的に書いてるセキュリティ会社の記事が見当たらないので、これはあくまで個人的な憶測ですので、そこは念押ししておきます。
で、言われてみてみれば、確かにITpro掲載のスクリーンショット(IPAが公開したもの)のアイコンは「手を合わせてるパンダ」に見える。
少し分かりにくいですが、一番上の黒い二つが耳で、真ん中の上が目、その下のが両手、一番下のが足、という構図。
まぁ確信もっては言えませんが、とりあえず同一なのかなと思ったので追記しときます。
2月13日追記
・「お祈りパンダ」のブリーダー、中国で逮捕 (ITmedia)
逮捕。
…で、「どこがパンダやねん」とわかりにくいので、前回書いた後、IPA発表の画像を拡大して手を加えてみました。
パンダに見える……でしょ…?
2月16日追記
・お祈りパンダの作者、ついに逮捕--獄中からウイルス削除プログラムを公開(CNET Japan)
詳報。
なるほど「腹いせ」で作ったのか…。
で作者純正の「駆除ソフト」が配布されてるらしいのだが、そのソフトは「逮捕後獄中で看守の見守る中作られたもの」なんだと。中国らしいったら中国らしいな。
読んで気になったのが「さらに李氏がお祈りパンダウイルスを流布した後、浙江省の悪徳ウイルス配布業者から購入したいという連絡があった」という箇所。
「業者」はどういうルートで「連絡」したんだろう? アングラ系のサイトに何か書き込みでもしてたのだろうか。
また、その隠されていた「連絡ルート」を警察が発見したことで今回の逮捕になったのか? そこのところが不明。
ただ「報酬」の額の大きさに目を引かれるし、「業者」はその「元手」をどうやって回収しようとしてたのか、そこが気になりますね。
3月29日追記
・“パンダウイルス”作者の駆除ツールは効果薄、シマンテックが検証(ITpro/.日経BP)
でもってその「性能」はいかに。
……。うーん。
昔から「ウィルス作るヤツはスキルが低い」と言われてますが、それを実証しちゃったわけね…。
