不正遠隔操作ツール「トロイの木馬」
メルヘンチックなその名前からは想像できない正体は極悪ハッキングツールである。広義のカテゴリーではウイルスの1種になるが、感染したマシンでは、不特定多数の不正侵入者が外部から勝手にマシンをコントロールすることができるようになる。最悪の場合、パスワードなど個人の特定情報が盗まれ、マシンのインターネット接続状況を監視。IPアドレス情報などを外部に送信し、外部からの不正侵入や不正コントロールを可能にする。
電子メールの添付ファイルやWebサイトからのダウンロードファイルが主な感染経路となっている。スクリーンセーバーやコンピュータゲームのアップデートなどを装って配布される事が多い。AOLユーザに対してNetwork Associatesがトロイの木馬の警告を発した。電子メール添付ファイルがユーザ情報を盗み出しその内容が電子メールで送られてしまう。この添付ファイルは「Picture.exe」として送られ、Picture.exeが起動すると以後2回のシステム起動によってファイルが作成される。作成されたファイルにはキャッシュから盗み出したTXTファイル、HTMLファイル、URL情報のリストが記録されている。またユーザ名やパスワードが入っている,AOLクライアント・ソフトのindexファイル情報も盗み出す。そして盗み出した情報を電子メールで自動送信するようプログラムされている。なおNetwork Associatesは,このPicture.exeを発見するために、McAfee VirusScan 3.x以上、Dr Solomonの Anti-Virus Toolkit 7.x以上を使うよう薦めている。
株式会社シマンテックは、トロイの木馬ソフト「BackOrifice 2000」対応のワクチンの提供を開始した。BackOrificeの後継版であるBackOrifice 2000は、DEFCONにて発表された。インターネット経由で遠隔地のWindowsマシンを不正に操作する。クライアント用のソフトを電子メールの添付書類などで不正送付し、誤ってソフトを実行してしまったユーザーのマシンに対して、不正にアクセスできる。BackOrifice 2000では、サーバ側が暗号化され、Windows NT環境でも動作する。しかし設定の面倒さや操作の複雑性でユーザの評価は高くない。トロイの中でも、高機能でGUI化したインターフェスでスキルにあまり関係なく使えるSUBSEVENシリーズは評価が高くそのスジでは有名である。
防御策として「Windowsのハッキングマニュアル」の関係記事を紹介する。
1、素性不明のexe形式ファイルは実行しない。
2、インターネット接続しているときマシンが命令以外の行動したときは現在のコネクションの一覧を調べ、怪しいポートが開いてパケットが送られてないか調べる。
3、常にレジストリやWin.iniを監視し、怪しい追加がないか注意する。
■関連記事
上場直前の不動産投資信託