ここまでの警告を受けて、この設定を変更するには相当の覚悟が必要になります。しかし、ここまでしないとエクスプローラでは、WORM_AGENT.HBが作成したファイルやフォルダを表示することができません。まず、この段階で普通のユーザには感染に気がつくことが困難になります。
図1では、あえてこの設定を行い、見えるようにしました。WORM_AGENT.HBに感染したUSBメモリの状況です(図3)。
 |
図3 WORM_AGENT.HBに感染したUSBメモリ |
この状態になっても、なお、どこにウイルスがいるのか? わかりにくいでしょう。オートラン対策の1つに「AutoRun.inf」というフォルダを作成する方法があります(AutoRun.infファイルをウイルスが書き込みできないようにすることが目的)。しかし、WORM_AGENT.HBは、存在するフォルダをAutoRun[空白].infに変更し、新たなAutoRun.infを作成します。さらにこの時点で、「Recycled」とごみ箱が作成されている点にも注目してください。WORM_AGENT.HBは、この状態でもさらなる仕掛けをしています。まず、WORM_AGENT.HBの作成したAutoRun.infを開いてみます。
[AutoRun]
open=Recycled\cleardisk.pif
shellexecute=Recycled\cleardisk.pif
shell\Auto\command=Recycled\cleardisk.pif
shell=Auto
ICON=Recycled\disk.ico
ごみ箱内のcleardisk.pifを自動実行していることがわかります。しかし、このごみ箱を開いてもcleardisk.pifはありません。これはWindowsのシェルエクステンションという仕組みを利用し、USBメモリのごみ箱を開いても、本当のごみ箱(Cドライブなどにある)に転送されてしまうのです。
実際のフォルダ(実はごく普通のフォルダ)をこのように偽装して、本物のごみ箱に見せかけているのです。さらに、もう1つの偽装が行われています。拡張子が「.pif」のファイルです。この拡張子のファイルは、「.exe」ファイル同様実行可能、「拡張子をすべて表示する」としても表示できない、アイコンがショートカットになるという性質があります(そのためウイルスでは、よく使われる手口となる)。
このため、ごみ箱を見ても普通のユーザには、何も見つからず「ごみ箱があるだけか」、「cleardisk.pifもないし、ウイルスには感染していないな」という誤解を与えてしまいます。しかし、WORM_AGENT.HBはその存在を巧妙に隠して、感染活動を続けているのです。
あなたは、このようなWORM_AGENT.HBの偽装を見破ることができるでしょうか?このレベルになると、もはや注意力やちょっとした知識のみでは、ウイルスの感染を把握することは非常に難しいといえます。やはり、ウイルス対策ソフトが必要となるのです。
オートランはこのようにして、USBメモリに潜み続けます。また、常時、使用していないUSBメモリなどに感染すると、ウイルスチェックを受ける機会が少なく、駆除がされにくい点があります。こうしてオートランに一度、感染すると、ウイルスは次から次へと感染を広げていきます。こうして、普及したUSBメモリが感染を拡大させているのです。オートランに感染すると、
- レジストリ情報等、Windowsのシステム改変を行う。
- オンラインゲームのIDやパスワードが盗み出される別のウイルスをダウンロードさせられる。
- 接続されている別のハードディスクおよびリムーバブルドライブに自分自身をコピーする。
- パソコンに格納されている特定の情報を外部に送信する。
といった被害が想定されます。特に、別のウイルスをダウンロードさせられると、より大きな被害の可能性もあります。
「USBワーム (オートラン)」の侵入後の活動を確認するためトレンドマイクロで調査をしたところ、対象のワームには不正なURLがあらかじめ登録されており、コンピュータに感染するとWebサイトにアクセスするというものでした。そのWebサイトは、ダウンロードされる不正プログラムが適宜入れ替えられ、その数は1カ月間で11種確認されています。また、そのうち8種はオンラインゲームのID・パスワードを盗み取ろうとする「TSPY_ONLINEG」で、オンラインゲーム以外の3種の不正プログラムも他の不正プログラムを作るなどコンピュータを連続的に感染させようとするものでした。