Share暴露ウイルス「Kenzo」について

「Winny」や「Share」というP2Pファイル交換ソフトをご存じの方も多いと思います。「Winny」については、「匿名性」、「著作権」、「裁判」、「個人情報流出」、または「ウイルス」などのキーワードも付随します。
これに関連する「ウイルス」としては、「山田ウイルス」や「原田ウイルス」といった暴露系のウイルスが有名です。

今回このような話題を掲げたのは、11月27日頃から「Share」に新しい暴露系のウイルスが流されたためです。
この時に利用されたドメインが「P3P」だったことから「P3P」ウイルス、または作成者の名前からKenzo(Kenzero)と言う名称がついています。

侵入
このウイルスは、アダルトゲーム(isoファイル)に偽装し、「Share」のネットワーク上に流れることで非常に簡単に侵入します。さらに、偽装の際に複数のアダルトゲームのタイトルを使用し、そのファイルサイズも同一ではなく、1.5GB前後に設定しています。
これを本物のゲームファイルであると誤解した「Share」ユーザがダウンロードを行い、実行することで感染してしまいます。

実際にそのisoファイルのコンテンツを見ると、以下の3つのファイルと1つのフォルダがあります。
autorun.inf
Setup.exe
config.xml
product/

この「Setup.exe」がウイルスプログラムの本体で、これを実行することで感染します。
また、「autorun.inf」には、この「Setup.exe」を自動的に実行する設定があるため、メディアへのコピー、または仮想ドライブ等にマウントして開くと同時にこのプログラムが実行されて感染してしまいます。

影響
このプログラムが実行されると、以下のような症状が現れます。

1. はじめにデスクトップのスクリーンショットが取得され、「C:」ドライブに「<ランダムな文字列>」のフォルダが作成されます。さらにそのフォルダに「<ランダムな文字列>.bmp」と「<ランダムな文字列>.jpg」という二つのファイルが作成されます。
2. ゲームの開始時に個人情報の入力が求められます。ここでユーザが入力した「住所」、「氏名」、「電話番号」等の個人情報が盗まれるのです。(※ただし、この入力要求が行われない場合もあります。)
3. 次に1と2で収集したデータが特定のサーバにアップロードされます。アップロードされた情報は誰でも閲覧可能な状況になってしまいます。
4. 最後に削除依頼メール等を送信すると、ユーザには和解とデータの削除というメールが届きます。このメールの内容は、和解とデータの削除のために1500円～5800円(金額には幅があるようです。)を要求するものです。(※現在このサーバは停止しており、メールも送信されていないようです。)

予防
まずは、当然のことですが違法なことを行わないことです。例えば不正コピーされたファイルを取得する目的で「Share」や「Winny」などのファイル交換ソフトを使用しないようにします。被害を受けたユーザは、明らかに不正コピーされたアダルトゲームの「Setup.exe」を実行しようとしたことによって感染しています。
今回は作者の意図によりアダルトゲームのタイトルに偽装されていましたが、これがロイヤリティフリーの正規ソフトウェアであったとしたら、さらに被害は拡大していた可能性があります。
また、これはP2Pファイル交換ソフトウェアにだけに言えることではなく、正規ソフトウェアについてもダウンロードしてインストールする際にはその提供元を必ず確認することが必要です。可能であれば、開発元など信頼できるサイトからダウンロードすることをお勧めします。また、信頼できるサイトにあるハッシュ値とダウンロードしたハッシュ値が正しいかを確認することも非常に重要であると言えます。

今回のようなP2Pファイル交換ソフトを使用した「不正コピーのダウンロード」や「ウイルスの放流」は当然法律上違法です。しかし、その詳細が不明確な部分を利用した悪意のある行為は決して容認されるものではありません。
「Winny」や「Share」などのP2Pファイル交換ソフトを利用した違法な行為は絶対に行わないでください。