実はワタクシこのタコイカ(イカタコ)ウイルスというの知らなかったんですよ~(・@・)〈二:彡
昨年夏頃から出回り始めたようですが、ま~ったく知りませんでした。
ウイルス制作者の逮捕がニュース報道され初めて耳にした次第です。
国産のピュアP2P型ファイル共有はメッキリご無沙汰でしたので・・・
それにしてもタコイカ制作者があの原田ウイルス制作においても逮捕、執行猶予中だったのには驚きw(゚o゚)w
最初、原田ウイルスと同種の動画ファイルを根こそぎ削除するタイプかなと思ったんですがオチャメな魚介類の感染画像とは裏腹に結構エグイ事をするじゃあ~りませんか。
挙動的にはMk-IIに近いんですかね。
とはいえ制作者逮捕でソースコードはお上所有とあいなり多くのセキュリティーベンダーも対応しているんじゃないでしょうか。
2009年末のタコイカ警報はトレンドマイクロが発動してるくらいですから(^▽^)
※WinnyやShareのハッシュを照会できる検索サイトなどもありタコイカウイルスは比較的容易に入手できるようです。多くの亜種が存在する可能性がありますのでご注意を。
というわけでここからが本題(前置きがなげ~よ)
かげまる氏がよーつべにオモシロイ動画をアップしております。
Returnil Virtual Systemの仮想環境下において著名なセキュリティーソフトのタコイカウイルス検知テストをおこなうというもの。
氏の落ち着いたボイスによる解説付きでたいへんわかりやすくかつ観やすくなっておりますよ~。
テストは2010年の3月、4月辺りの実施が中心で他6月、8月、最も早いテストはKaspersky Internet Security 2010の1月29日となっています。
検知テストは概ね以下のような手順です。
①Returnil Virtual Systemによる仮想化
※Returnil Virtual Systemで仮想化可能なドライブはシステムドライブのみ、つまりOSがインストールされているドライブに限定されます。テスト用PCではあると思うんですがHDDは1台のみでパーティション分割などはしていないんでしょうね。(タコイカ及びワーム系の実行においてはネットワークを切断してからテストをおこなっています)
②セキュリティーソフトのセットアップ及びデータパターンのアップデート
※データパターンはテスト時点での最新版に。設定はデフォルト。リアルタイム保護機能込でのテストにつきシェア、フリー共に常駐タイプに限られます。また最近ではウイルス、ワーム、トロイの他スパイウエアやアドウエアを包括的にマルウエアとして捉えるセキュリティーベンダーが主要になってきていますが、ここでは特にトータルセキュリティーやアンチウイルスソフトに限定しAd-Awareなどのいわゆる常駐型アンチスパイにおいては例外もありますがテストはしていないようです。
③主要な17種のウイルス、ワーム、トロイ、その他マルウエアをテスト
※これらをアーカイブした圧縮ファイルを解凍するところからリアルタイム保護のテストを実施。未検出の検体に関してはファイルスキャン、更には実行する事でPCのプロテクトが可能か否かを確認しています。(セキュリティーソフトによりテスト内容は多少異なります)
④偽装ツールをテスト
※基本的には悪意あるサイトにアクセスしてSecurityToolをダウンロードするところからテスト。未検出の場合はファイルスキャン、更には実行する事でPCのプロテクトが可能か否かを確認しています。(セキュリティーソフトによりテスト内容は多少異なります)
⑤暴露ウイルスをテスト
※Perfect Darkより入手した(TVアニメシングル)と(ゲーム用クラックツール)に偽装したウイルスを解凍するところからリアルタイム保護のテストを実施。未検出の検体に関してはファイルスキャン。暴露ウイルスに関しては実行テストはおこなっておりません。(セキュリティーソフトによりテスト内容は多少異なります)
⑥タコイカウイルスをテスト
※検体ファイル名
(化物語 第11話「つばさキャット 其ノ壹」(MX 1280×720 H264 AAC).mp4———-.scr)
(inco molete[映画]ヱヴァンゲリヲン新劇場版・破 (2009年6月27日公開 CAM).avi———-.scr)
の2種をアーカイブした圧縮ファイルを解凍するところからリアルタイム保護のテストを実施・・・なんですが解凍段階で検出できるセキュリティーソフトが殆ど無い為ファイルスキャン及び実行テストがメインとなっております。またファイル入手時期の誤差により(つばさキャット 其ノ壹)のみテストのケースもあります。(セキュリティーソフトによりテスト内容は多少異なります)
おおまかな流れはこんな感じでありますがセキュリティーソフトによってはキージェネ系マルウエアやプラグイン系偽装ツール、またMalware Domain ListからランダムにピックアップしたURLよりマルウエアをDLテストするなど流動的になっております。
これらを踏まえまして次回はかげまる氏の動画に、検知テストの結果とワタクシの簡単な解説を添えてお届けしたいと思います。
はい?いらない・・・・
んではこれでも着てアキバに行ってきます。
