山田オルタナティブ
山田オルタナティブ(やまだオルタナティブ)は、コンピュータウイルスの一種である。
概要
山田オルタナティブは2006年2月ごろに発見されたWinnyやShareなどのファイル共有ソフト又は2ちゃんねるなどの匿名掲示板やWeb上のアップローダ、電子メールを媒介して感染するコンピュータウイルス(バックドア型トロイの木馬)である。Windows98以降のWindows系OS上で動作する。Antinnyと同じく暴露ウイルスとも呼ばれている。
山田オルタナティブはあくまで通称でありシマンテックはBackdoor.Nodelmと呼んでいるなどアンチウイルスソフトウェアを開発している会社によって名称は異なる。
警察庁は2006年4月7日に「重要なお知らせ」として山田オルタナティブに注意するよう呼びかけた。
名称の由来
「山田」は山田ウイルスと動作における共通点が多い事から来る。オルタナティブの名前が定着するより前は、「新山田ウイルス」「新型山田」などと呼ばれていた。
「オルタナティブ」は、このウイルスが流行し始めた時期が、アダルトゲーム『マブラヴオルタネイティヴ』がWinnyなどのP2Pソフト上で流通し始めた時期と重なっている事に由来する。
当初、「Winnyで出回っているエロゲのEXEファイルが偽装されたウイルスだ」と言う報告がなされ、同時に感染者のデスクトップキャプチャ画像に件の『マブラヴオルタネイティヴ』のアイコンが確認された事より、このゲームの(偽者の)EXEファイルが感染源であると言う認識が広まった。しかし事例の報告が多くなってくるにつれ、このゲームとは何の関係も無い感染経路も多く確認され、実際は様々なファイルに偽装されてウィルスが出回っている事が判明した。
感染方法
WinnyやShareなどのファイル共有ソフトの場合は、ウイルスが含まれるファイルを入手して実行することによって感染する。
2ちゃんねるなどの掲示板やウェブページやメールなどの場合は、ウィルスが含まれるファイルが保管されている場所のリンクをクリックし、ファイルをダウンロードして、ファイルを実行後に感染する場合が多い。
症状
山田オルタナティブに感染したPCは、Webサーバとして機能し、デスクトップを常時キャプチャした画像に加え、ハードディスク内部にある全てのファイルを意図せずに、Web上に公開してしまう。
Webサーバとして動作するためのポート開放はUPnP機能を利用して行われるため、ルータを利用していても情報が公開されてしまう危険があり注意が必要である。
アンチウイルスソフトウェアで駆除するか、PCを再インストール・処分・ネットワークから切断しない限り、個人情報がずっと公開されている状態となってしまう。
更には、感染したPCが他の感染したPCを自動的に見つけリンクを作成し、感染したPCリストを自動的に作成する為に感染の被害が拡大するような仕組みとなっている。
また、この山田オルタナティブの亜種のウィルスとして、2ちゃんねるに感染者のリモートホスト名を表示して、犯行予告などを自動的に書き込むウィルスも確認されている。他に、少なくとも4種類の亜種が確認されている。
確認方法
80、8,000及び8,080番ポートを利用してHTTPで公開しているので、[ttp://localhost/ localhost]・[ttp://localhost:8000 localhost:8000]・[ttp://localhost:8080 localhost:8080]のいずれかにアクセスできないか確かめる。もし、Webサーバを起動している覚えがないにもかかわらずアクセスできた場合、感染を疑い、アンチウイルスソフトウェアで検査した方がよい。
ただ、最近では前述のポートにアクセスできないように偽って活動する亜種も存在するため最初からアンチウィルスソフトウェアで検査するのがよいという考え方もある。
亜種
- Mell-1-0.11
- Mell-1-0.12
- Mell-1-0.12A
- Mell-1-0.12B
- Fox-6-0.66
関連する悪意のあるプログラム
山田オルタナティブ感染者を探し出すツール「山田サーチ」として公開されたソフトウェアが、インターネット掲示板・2ちゃんねるのニュース速報板に定型文字列の自動書き込みを行い、話題になった。
この書き込みは犯罪を予告するものであることもあり、複数の感染したPCが確認され、2ちゃんねるにおけるソフトウェアの自動書き込みを問題とするひとつのきっかけになった。
注釈