タコイカウイルス（イカタコウイルス）〜総合解説〜

２０１０年８月、パソコンウイルスの一種であるタコイカウイルス（イカタコウイルス）の製作者　中辻正人氏が逮捕起訴されました。
中辻氏は以前に同種のウイルスである原田ウイルスの製作者でありその刑の執行猶予中でした。
前回は使われた画像による著作権関係の罪、今回はオリジナルイラスト使用で同罪を避けましたが被害者への器物損壊の容疑で逮捕されました。

同年12月の初公判より中辻容疑者はウイルスの作成は認めたものの、器物損壊にはあたらないとして争ってきました。

論告求刑公判が２０１１年５月２５日、検察側は懲役3年を求刑した。弁護側は無罪を主張。
同年７月２０日の判決で、東京地方裁判所は中辻被告に懲役２年６か月の実刑判決を言い渡されました。
２０１２年３月２６日、東京高裁は控訴審判決で懲役２年４か月の実刑判決を言い渡されました。

この事件は「ウイルス作成罪」が整備される以前に行われており、器物損壊罪の容疑として裁判が行われていました。

報道発表では１７種類の魚介類のオリジナルイラスト（１点はモグラ）を使用し、 ２００９年の開発から逮捕までの間に約９回のバージョンアップを行ったとあります。
(当サイトの検証では初期バージョンと合わせると２０種類程度の生物、記載されたメッセージ違いを含めるとかなりの数のイラストがあると思われ、１７種類というのは比較的新しいバージョン１本の中に格納されている数字だと考えてます）

イラスト書き換えによる派手な破壊活動の裏で感染者のパソコンの情報を中辻容疑者へ送信する機能もありました。（約５万件のデータを収集していたそうです：報道発表）

タコイカウイルス作者逮捕により、個人的な検証の必要性が薄れたと思われますので、ウイルスの検証とこのページの更新を終了します。 （重要な新事実が判明した場合は加筆修正します）

以下の内容はタコイカウイルスの作者が逮捕される以前に独自の検証により製作したものです。
今後の捜査や裁判の過程により発表される公式な内容と多少違う点もあるかとは思いますが、大きな間違いはないとの判断で掲載を続けます。

○タコイカウイルス関連目次

ページを細々と切り替えるよりスクロール好の製作者ですｗ　回線遅い方ごめんなさい。　

・１　タコイカウイルス（イカタコウイルス）総合解説(今表示してるこのページ）
・２　タコイカウイルス(イカタコウイルス）駆除・復元
・３　タコイカウイルス（イカタコウイルス）感染しない為の対策
参考資料
・タコイカウイルス画像集1/3
・タコイカウイルス画像集2/3
・タコイカウイルス画像集3/3
・タコイカウイルス利用法（冗談です

☆タコイカウイルス（イカタコウイルス）とは。

主にファイル共有ソフト（P2P）ネットワーク上の偽装ファイルダウンロードし実行する事により感染するコンピュータウイルスです。

タコウイルス、タコイカウイルス、イカタコウイルス・・・呼び名は様々（俗称）。
TREND MICROでは　TOROJ_TACO.A　と名づけてます。
Avastでの分類では　Win32:Killfiles-DU[Trj]　です。

当サイトでは「タコが多い」ということから、「タコイカウイルス」の名前で扱ってます。

かわいい名前ですが、実質的にHDD上のデータファイル削除、さらに画像ファイルで上書きされていくので、削除ファイルの復旧も極めて困難、その後も裏で何やってるかわからないという極悪なウイルスです。

外部リンク→TREND MICRO社の対応　（当サイトでの説明と若干異なります・・初期型の説明？）

２００９年夏頃より感染の報告が増えてきてます。

コンピュータウイルスとしての分類は　自己感染力を持たない「トロイの木馬」タイプ。
代表的な機能はファイル破壊と通信機能です。
ファイル破壊活動が大規模且つ早い為に極めて短時間にディスクドライブ上の各種ファイルに甚大な被害が発生します。また、破壊されたファイルは元のファイル名を含むファイル名の画像ファイルに置き換わり、感染者への復元の可能性を期待させるが、実際にはほぼ不可能という心理的にも追い討ちをかける仕様になっています。この画像ファイルがタコやイカ等の魚介類のイラストファイルであることから「タコイカウイルス・イカタコウイルス」等の俗称で呼ばれています。

タコイカウイルスには様々な亜種があり、２０１０年春の時点ではウイルス対策ソフトで検出できないとの報告も多数あり被害を広げたようです。

このタコイカウイルスの情報を検索しても駆除に関して得られる情報は少なく、一般的には感染したらリカバリというのがお定まりのコースらしいです。（２０１０年４月時点での　インターネット調べ）

○一般的な症状

タコウイルスは動画ファイルや音声ファイルに偽装した　scr(スクリーンセーバーファイル）　exe（実行ファイル）　ファイルとして、主にファイル共有ソフトのネットワーク上に存在し、それをダウンロードする事によりやってきます。
偽造されたファイルを、クリックして実行すると感染のスタートです。
（古典的な手口なんですよね・・・踏んだ人は　恥ずかしいことだと自覚しましょう）

ファイル名の例　
[映画.avi   〜長い連続スペース〜　.src　]
[人気アーティスト　　〜長い連続スペース〜　　.exe ]

＊二重拡張子とは限らない。　＊アイコンも偽装してる場合あり。

最初からこの形式で存在しているとも限らないようで、圧縮されたファイルを解凍するとその中のファイルが上記のような形式になってる場合もあるようです。

また動画ファイル等への偽装を考慮してかファイル容量が数十MB〜数百MBに及ぶ大きいものが多いのも特徴です。

上の図は筆者がテストに使用しているタコイカウイルス検体の一つです。
この場合フォルダアイコンで偽造した実行ファイルです。
こうやって詳細表示で見ると実行ファイルである事が一目瞭然ですが、一般的な表示では「exe」が見えず騙されてクリックしていまいがちです。

さて、ウイルスのファイルをクリックして実行するとどうなるか書いてみます。

まず動画プレイヤーが起動してタコやイカなどのアニメーション動画が再生される。
＊動画の再生がなくいきなりメッセージ付の画像が作成される場合あり。
＊実際には最初の実行ファイルが展開され、各所にウイルス関連のファイルが作られて発病します。

ほぼ同時に様々なファイルが次々魚介類のイラスト画像ファイルに書き換えられていきます。
実行ファイルを含むファイルのほとんど全てが魚介類イラスト画像ファイルになります。
（BMP,PNG,GIF,JPG　ファイルになります）。

正確には書き換えというより置き換えであり、元ファイルは消滅（削除）されます。

書き換えの対象は、実行ファイル・データファイルほぼ全てに及びます。

画像はランダムに選ばれた魚介類のイラストでサイズの異なる３種類に書き換えられます。
イラスト別にウイルスがあるのではなく一つのウイルスを実行するとその中からランダムに選ばれます。
その為同じウイルスでも感染する都度選ばれる魚介類のイラストが違います。
（通常は１感染あたり選ばれた１種類の魚介類という事になります。）

書き換えられる画像パターンは　[■タコイカウイルスイラスト画像集]　を参考にしてください。

例えばホタルイカが選ばれた場合、以下の大中小３種類のいずれかに書き換えられます。
大中小のいずれかになるかは、元ファイル形式又はファイルサイズによってルールがあるようです。
(参考画像は説明の為にリサイズしています、原寸は数字参照）
ホタルイカ（大）　1280×650

ホタルイカ(中） 640×480
ホタルイカ(小）125×286

画像形式はBMP　PNG　JPG　GIF等ばらばらのです。
（最近のバージョンはPNGとJPGの組み合わせのようです）

ファイル名のパターン　
[元のファイル名][T####].BMP(GIF.PNG.JPG.GIF)（####は３桁の数字+アルファベット）

実際には　[元ファイル名].T770A.PNG 　こんな感じになります。
このTと数字の組み合わせを追加する事により、通常のデータと書き換えたデータを区別していると思われす。
また数字はウイルスのバージョンを示してる可能性があります。筆者は200番台〜700番台までの存在を確認しており、新しいモノほど数字が大きくなります。

感染中に一度書き換が完了したと思われるフォルダに新しいファイルを作ると、それも後から書き換えられます。

書き換えはウイルスを実行したフォルダーからスタートするという情報があります。

＊新しいバージョンでは外部のディスク（ドライブ番号が後のもの）から書き換えを始めるようになってるかもしれません。・・・データ被害としては、こちらの方式の方が被害が大きいかもですね。
＊感染に気付くのを遅らせ被害を広める為か新しいバージョンではディスクトップは後回しになる可能性もあります。

書き換え対象はパソコンの内部HDDだけでなく、ＯＳに認識されたドライブ全体が対象となります。接続されてる外部HDDやUSBメモリー等ですね。それがシステムファイルに及ぶと起動すら困難になります。
（＊システムファイルは書き換えないとの情報もあり）

さらにはネットワーク接続された記憶メディアにも及ぶ可能性があり。　
最悪の被害を想定すると、LANで接続されたパソコンのネットワークドライブ設定等のデータ関係が全損する可能性もあります。（企業なんかで感染したら大変ですね）
＊筆者の環境下での検査では、ＬＡＮで接続された他のパソコンの共有フォルダへの書き換えはありませんでした。

下図はウイルスを実行させる前と実行後の様子です。
様々な種類のファイルを用意してみましたが・・・。

元のウイルス実行ファイルも含めてクラゲの画像に変更されています。
唯一ショートカットファイルだけはそのままですが、ショートカット先が書き換えられればそれまでです 。
アイコンだけが変わったわけじゃなくて、完全にクラゲのイラスト画像ファイルに変更されてます。
この状況はものすごいスピードでOSが認識してるドライブ全体に広がっていきます。

最初に起動したフォルダに偽装されたウイルス実行ファイルは、感染後本物のファイルフォルダになり、中にはメッセージ付の大きな画像が格納されます。この時点で最初のウイルス実行ファイルは消滅した事になります。（別の場所に展開されたウイルス実行ファイル群が活動しています）

この動作は自己解凍書庫ファイルに似てます。

下の図は描きえられたファイルの例です。この場合フグですね。

このように、元ファイル名が残る為に復元可能かなと思わされますが、このファイルからの復元は不可能です。復元作業にはこの書きえられたファイルを使用しません。（純粋にイラスト画像ファイルになってます）

元ファイルのデータ領域に領域に魚介類の画像ファイルが上書きされる可能性が高くなり、後のサルベージ（削除データ復活）で救えるファイルも被害の拡大と同時に減っていきます。

参考まにで魚介類には、タコ・イカ・ウニ・クラゲ・サザエ・アンコウ・ナマコ・ヒトデ・フグなどいろいろな魚介類のバージョンがあり、ウイルス実行時にランダムに選択されます。
イラストの一部は別ベージをご覧下さい＞＞＞■タコイカウイルスイラスト画像集

下の図はタコイカウイルスを仮想環境下で実行時のプロセスの様子です。
仮想環境下の為ウイルスがスムーズに実行できず、繰り返しプロセスを起動してウイルス関連プロセスが通常環境より多くなってる可能性があります。

最初に起動したタコイカウイルスのプロセスは、起動後数秒間存在しますが、関連ファイルを展開、実行させた後に終了します。
ウイルス関連プロセスは通常SYSTEM権限で動くシステムプロセスと同名のプロセスがユーザー権限で動いている場合が多いです。
explore や　iexplore はそれ自体がウイルスというより、ウイルスプロセスに呼び出されて動いてるのかもです。

下の図はイカタコウイルス実行直後（１４：３７実行）の　c:\windows\　の様子です。

赤で囲った３つの隠し属性フォルダはウイルスによるものです（名称は感染毎に違います）。
この中に実行ファイルや、詳細のよくわからないファイルが配置されます。
駆除の場合はこれらを全て削除する事になります。

書き換え開始とほぼ同時にウイルスのプロセスから外部のあるIPアドレスへの接続が開始されます。
＊筆者の実験用仮想環境ではFWで通信を遮断していますが、悪意ある別のマルウエアのダウンロード又は、パソコン内の情報の送信の可能性もあります。

上の図はウイルス実行後まもなくファイアーウォールが通信要求を検出したところです。
通信プロセス（上位プロセス）、通信先のホスト名称とIP、ポート番号が表示されてますが、プロセスとポート以外は表示マスクさせていただきました。

下の図は2１番ポート(FTP)の接続要求です。
通信が開始されれば何らかのファイルのやり取りが行われるでしょう。

一度の感染で複数のプロセスから複数の通信要求が発生します。
*通信要求するプロセスも定まっていません。接続先も数箇所準備されてるようです。

現在のところ、他のパソコンへ自動感染するという情報はありません。

＊亜種が多数発生してますので、動作の違うモノもあると予想されます。
またその為に駆除作業も微妙に違ってる筈です。

☆追加情報
２０１０年６月頃よ、イラストが魚介類から離れてモグラ（動物キャラクター）のイラスト画像に書き換える亜種が発生してるようです。今後のどのようなイラストで来るか予想できません。タコイカウイルスで定着した魚介類イラストへの書き換えから離れて、有効な情報を得にくくする狙いもあるのかもしれません。

２０１０年８月２日にウイルス対策ソフトAvastにスルー（検出なし）されてたタコイカウイルスの検体（５月〜６月頃のバージョン）を提出して翌日には対応して頂きました。検体が大きすぎたので某サーバーにアップロードして、それをAvast側でダウンロードして検査して頂きました。（感謝です）
Avastでは「Win32:Killfiles-DU[Trj]」として検出されます。（偽装ファイルでの検出は難しいかもですが、実行後に現れる本体は従来より検出されやすくなったと思われます）