CIH ウイルスの新しい亜種は8月2日に攻撃開始

◆概要：
　CIHウイルスの新しい亜種 (CIH.1049) は、毎年8月2日になると非常に破壊的なペイロードを実行するよう設定されている。CIH.1049はファイル感染型のウイルスで、CIHがメモリー内で稼動している時に開かれる .exeファイルに感染する。ファイルに感染すると、同ウイルスはCIHをメモリー内で起動し、CIHをメモリーから完全に除去するまで、その他の開いているアプリケーション全てに感染してしまう。

　また、CIH.1049は.exeファイルのサイズを1,049バイト増加させる可能性がある。ただ、同ウイルスはキャビティ型ウイルスであるため、検知されないようにプログラムコード内で未使用のバイトを使用しようとする。よって、より大きなサイズのプログラムでは、CIHに感染してもファイルサイズが変化しない可能性がある。

　CIHは一般的に、電子メールやファイル共有ネットワーク、フロッピーディスク、IRC、その他のファイル共有メディアを介して他のコンピューターに感染する。また、CIHが8月2日に実行されると、ハードディスクにある全てのデータが上書きされ、ハードディスクが破壊され、BIOSがフラッシュされる。また、CIH.1049はVXDプログラミングを使用してメモリーに常駐するようにしているため、マイクロソフト社のWindows NT OSには感染しない。

◆別名：
　PE_CIH.1049、CIH、CIH.1049

◆情報ソース：
・ Trend Micro Inc. ( http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_CIH.1049&VSect=T ), April 30, 2002

◆分析：
　（iDEFENSE 米国）CIHファミリーは非常に危険なウイルスで、拡散に成功している。依然として毎月、CIHの感染台数は数千台にものぼっている。この新しい亜種は、新しいペイロードの日付を使って拡散するであろう。尚、CIHファミリーの亜種の多くは、毎月26日にアクティブになるが、この新しい亜種は8月2日にアクティブになる。

◆検知方法：
　経験則を用いた最新のアンチウイルスソフトウェアを使用しない限り、CIHを検知することが非常に困難である。また、.exe ファイルのファイルサイズが変化しないため、巡回冗長検査（cyclical redundancy checking：CRC）ユーティリティを使用することが、.exe ファイルが変更されていることを検知する唯一の方法かもしれない。8月2日あるい毎月26日に全てのファイルが突然上書きされたり、ハードドライブが破壊された場合は、CIHに感染している可能性がある。

◆リカバリー方法：
　CIHに感染したファイルを全て削除し、クリーンなバックアップコピーを使って.exeファイルを復元する。多くの場合、通常の機能性に戻すためには、ソフトウェアを再インストールする必要がある。また、全てのディスクの全てのファイルをスキャンして、CIHが完全に除去されていることを確認する。

◆暫定処置：
　一般的に悪意のあるコードが他のコンピューターに拡散する際に用いるファイル形式をブロックするよう、サーバーやワークステーションを設定する。また、全ての新しいファイルを注意してチェックし、ファイルを使用する前にそのファイルのソースを確認して、経験則を用いた最新のアンチウイルスソフトウェアでスキャンする。

◆ベンダー情報：
　トレンドマイクロ社のアンチウイルスソフトウェアでCIHを防ぐことができる。また、他のアンチウイルスソフトウェアも、経験則を用いてCIH.1049を検知できる可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【16:47 GMT、04、30、2002】