マイクロソフト公式パッチを装う「Sober.D」出現

　MyDoomワーム用にMicrosoftがリリースした公式パッチを装う大量メール送信ワーム「Sober」の最新亜種が登場した。

　8日（現地時間）に発見されたSober.Dは、技術的にはその前の亜種、Sober.Cと同じで、感染したシステム内で見つかったメールアドレスに、独自のSMTPエンジンを使って自らを送りつける。しかしSober.Dは、Microsoftからのものと見せかけた偽の警告とエラーメッセージを表示する点で、Sober.Cとは異なっている。

　「このワームは、MyDoomのある亜種に対する保護パッチを装ったメールの形で届く」とウイルス対策ソフトメーカーSophosのシニア・テクノロジーコンサルタント、Graham Cluleyは述べている。「Microsoftから届いたメールのように見えるので、人々は添付ファイルをダブルクリックしてしまうだろう」

　フィンランドのウイルス対策会社F-Secureによると、Sober.Dは、実行可能形式のファイルか、もしくはパスワード保護されたZipアーカイブの形で、メールに添付されて出回っているという。ユーザーがこうした添付ファイルをクリックすると、ワームはパソコンをスキャンし、そのパソコンがすでに感染していないかどうかをチェックする。

　スキャンしたシステムが未感染であれば、小さな箱と「パッチは正常にインストールされました」というメッセージが表示される。また、すでにSober.Dに感染していれば、「このシステムには、このパッチをインストールする必要はありません」というメッセージが出る。

　さらにSober.Dは、受け取り手のシステムに合わせて言語を変える。受け取り手のメールアドレスのドメイン末尾が「de」、「ch」、「at」、「il」、「nl」、「be」であれば、テキストはドイツ語になり、サブジェクト行は「Microsoft Alarm: Bitte Lesen.」となる。ドメイン末尾がそれ以外の場合は、サブジェクト行は英語で、「Microsoft Alert: Please Read!」となっている。Curleyによると、以前のSoberバージョンも二カ国語対応だという。

　Microsoftからのアップデート通知を装うワームが登場したのは今回が初めてではない。今年1月にはWindows XPの緊急パッチを装うワーム、Xombe（別名Trojan.Xombe）が出現している。Xombeは2003年に最も猛威を振るったワーム、Swenを模倣したものと見られている。Swenは、Microsoftからのセキュリティ警告を装った初のワームと考えられている。

　Microsoftでは、ユーザーに電子メールでパッチを送付することはないと常に主張していることから、ユーザーはこうしたメッセージを無視すべきだと述べている。