山田ウイルス
山田ウイルス(やまだウイルス)とは、トレンドマイクロでTROJ_MELLPON.Aと命名されているコンピュータウイルス(トロイの木馬)の通称。ファイル共有ソフトであるWinnyやShare、Web上のアップローダ、メールを媒介し、Windows 98以降のWindows系OS上で感染/動作する。
感染方法
編集WinnyやShareの場合はウイルスが含まれるファイルを入手して実行後、2ちゃんねるなどの電子掲示板やメールなどの場合はウイルスが含まれるファイルが保管されている場所のリンクをクリックし、ファイルをダウンロードして実行後に感染する場合が多い。
感染後の挙動
編集このウイルスに感染すると、PCをWebサーバとして機能させ、デスクトップを一定時間おきにキャプチャして指定されたメールアドレスに転送したり、アップローダーに画像を貼るほか、特定のディレクトリにあるファイルをWebに公開する。また、2ちゃんねるなどの掲示板に、リモートホスト情報を公開した上で「ええけつしとるのぉ(*´Д`)ハァハァ」などのような書き込みを行う。
さらにはhostsファイルを変更し、シマンテックやマイクロソフトなどのベンダーへのアクセスを遮断し、民主党のURLへと変更してしまう。そして、PCを外部から任意のコードを実行可能な状態に置く。
このことから、山田ウイルスはPCにバックドアを生成する、トロイの木馬型ワームであると言ってよい。
確認方法の例
編集自身のコンピュータが本ウイルスに感染しているかどうか確認するのは容易である。下記アドレスをブラウザで開いた時、自分のパソコンの画面が表示された場合は感染している。
http://localhost/~ss.jpg ※一般的なブラウザ設定ならば左記アドレスをクリックするだけで確認できる。
なお、上記アドレスリンクはインターネットエクスプローラーにおいてはコンピュータウイルスに感染していない場合(つまりクリーンな状態では)、そのアドレスには何もファイルが無いはずなので「表示不可能~」もしくは「404 Not Found」に準じる文章が表示されるはずである。それ以外のソフトウェアの起動画面等が表示されている場合は、山田ウイルスを含めた何かしらのコンピュータウイルスに感染している可能性が極めて高いと言える。
また、上記アドレスで表示されている画面は、常に他のコンピュータから閲覧することが可能であるため、セキュリティ上極めて危険な状況である。直ちに画像の配信を止めたい場合はコンピュータをインターネットから切断するか、電源を切る必要がある。
名称の由来
編集友人の山田という人物からインスタントメッセンジャーで送られた youjo.exeというEXEファイルを起動したところ感染した、というインターネット上の掲示板での書き込みに由来する。
影響
編集2005年4月頃にその存在が確認されてから、2ちゃんねるの多数の板がこのウイルスによって荒らされた。その後、2ちゃんねる側が対策を取ったことで沈静化した。しかし、山田ウイルスに取って代わり、2006年3月頃には原田ウイルスが、さらに亜種の山田オルタナティブが猛威を振るった。