Autostart Hunterは、Macintoshのワーム「Autostart-9805」を発見/捕獲するユーティリティです。
アプリケーションの更新日:09/09/1998
ページの更新日:02/14/2000
日本語版(118KB)ダウンロード
Click here to download English version.
これらのCD-ROMをAutostart Hunter J-1.1でスキャンすると、不審なファイルが発見されたという警告が表示されますが、Autostart-9805に感染していないことが確認されておりますのでご安心ください。
以下の説明は添付のマニュアルの要約です。
■■■ Autostart Hunterについて ■■■
Autostart Hunterは「Autostart-9805」と呼ばれる“ワーム”(ウイルスのような悪さをするアプリケーション)を発見し、ゴミ箱へ移動すると共に、ユーザーに知らせるユーティリティです。和文ATMフォント(OCF形式)のアウトライン・データを破壊すると聞き、とにかく取り扱いが簡単な検出ツールを作ろうと思いました。貧弱なユーザー・インターフェースですが、皆様に早く使っていただこうと、急ぎ公開しました。使い方など、詳しいことは付属のマニュアルに記載されています。
■■■ 1.0b3からの改良点 ■■■
リモートサーバーやMOなどで発見されたAutostartが可視にはなってもゴミ箱へ移動されないケースがありましたが、ほとんどの場合においてゴミ箱へ移動できるようになりました。
怪しいファイルが何も見つからなかった場合に表示される報告ダイアログボックスの、自動的に閉じる時間を調節したり、マウスクリックかキー入力で強制的に閉じられるようになりました。
Autostart Hunterがフォアグラウンドにいる時には、新たにマウントされたボリュームを自動的にチェックするようになりました。出力センターや出版社など、外部から頻繁に記憶メディアが持ち込まれる環境では役に立つ機能です。
アイドリング時(バックグラウンドに回った場合も含む)にも指定した間隔で定期的にボリュームをチェックするようになりました。リモート・サーバーのクライアントからの感染を常時監視できるので、LAN管理者には有り難い機能です。
「Autostart Hunter(オートスタート・ハンター)」はフリーウェアです。
■■■ 動作環境 ■■■
システム:漢字Talk7以降のMacOS
メモリ:200KB程度でも十分に動作すると思いますが、256KB以上を推奨しています。
■■■「Autostart-9805」とは?■■■
Autostart-9805はすでにいくつかの変種(バリエーション)が確認されていますので、最新の情報については日本語版TidBitsまたは英語版TidBitsをチェックしてください。
Autostart-9805は、QuickTime 2.0以降の「CD-ROMの挿入後自動的にプログラムを開始する機能」を利用して感染するワームです。QuickTimeの「CD-ROMを自動的に再生する」オプションがオンになっている時に、感染しているボリューム(CD-ROM、MO、ZIP、JAZなど)をマウントすると、その時マウントされている全てのボリュームのルート・ディレクトリに「DB」という名の不可視アプリケーションがコピーされ、さらに起動ボリュームの機能拡張フォルダに「Desktop Print Spooler」という不可視ファイルがバックグラウンド専用アプリケーションの形式で作られた後、システムが自動的に再起動します。
再起動後「Desktop Print Spooler」が約30分ごとにマウントされている全てのボリュームを調べ、自分自身を「DB」という名のアプリケーションとして各ボリュームのルート・ディレクトリにコピーすることで増殖していき、さらにAdobe Type Manager用のアウトライン・フォント(和文フォントなどのOCF形式)のデータなどが破壊されます。アウトライン・データが破壊されると、そのフォントの特定の文字が表示されなくなったり、ATMがクラッシュするなどの症状が現れます。
Autostart-9805(初期型)に感染していた場合は、起動ボリュームのルート・ディレクトリに作られた「DB」というアプリケーションや、機能拡張フォルダに「Desktop Print Spooler」というバックグラウンド専用アプリケーションを取除く必要があります。しかし、これらは共に不可視ファイルとなっているため、ResEditなどのユーティリティを用いてFinder情報の不可視属性をオフにしない限り、ゴミ箱に移動することもできません。
また、98/5/25付けの英語版TidBITSによれば、すでにB型とC型の2つの変種が確認されています。これらはファイル名が変更されていますが(Autostart
Hunterはファイル名の変化には対応できるように設計されています)、今後は感染経路が変化することも考えられます。
■■■ なぜAutostart Hunterを使うのか ■■■
Autostart Hunterは、マウントされている全てのローカル・ボリュームについて、ルート・ディレクトリにある不可視のアプリケーションと、機能拡張フォルダにある不可視のバックグラウンド専用アプリケーションを探します。何か見つかれば、その不可視属性をキャンセルして(見えるようにして)からゴミ箱へ移動し、見つかったことをユーザーに知らせます。ロックされたボリューム(CD-ROMなど)ではFinder情報の変更もゴミ箱への移動もできないので、その都度見つかったことを報告します。
起動ボリューム上でバックグラウンド専用アプリケーションが見つかった場合、それがすでに動作していればAppleEventを送って終了させるので、システムの起動時に毎回チェックさせるようにすると被害を抑止できます。
Autostart Hunterは消費メモリの少ないアプリケーションなので、INITコンフリクトの心配がなく安心して(それも無償で)ご利用いただけます。
有限会社 ユコス・ワールド
〒181-0001 東京都三鷹市井の頭 1-30-27
FAX: (0422) 44-0993
Email: info@yukosworld.com