Sasserワーム、Netsky作者の仕業か

　Netskyウイルスの最新亜種を作成した正体不明のプログラマの一団が、Sasserワームをつくったのは自分たちだと主張している。研究者らも、彼らの主張を裏付ける証拠を見つけた模様だ。

　Skynet Antivirus Teamと名乗るこのプログラマたちは、大量メール送付型コンピュータウイルスNetskyの30種近い亜種を作成した可能性がある。この連中がいま、自分たちがSasserワームを作成し流出させたとの主張を、Netsky.AC亜種のコードの中に書き込んでいる。

　ネットワークセキュリティ対策会社Lurhqのシニア・セキュリティリサーチャーJoe Stewartは3日（米国時間）、彼らの主張は信頼できると語った。Lurhqでは、NetskyシリーズとSasserワームのコードの間に類似点を発見している。

　「コードと作者を正確に結び付けることはできない。（NetskyウイルスとSasserワームの）コードには共通箇所があることは間違いない。2つのプログラムが同一の作者の手になるものかどうかについては、何とも言えない」（Stewart）

　Stewartは、NetskyとSasserでは多くの関数で同じコードが使われていると述べている。

　Stewartは、バイナリ分析を行った結果、2つのプログラムでは同じ関数のセットが同じ順番で実行されることを突き止めた。偶然の一致の場合もあるだろうが、これらの関数のセットの場合、単なる偶然の一致ではありえないという。

　「これらの関数をこの順番で実行することは、それほど一般的なことではない。このことから、両プログラムが秘密のコードライブラリを利用していることが示唆される」（Stewart）

　Stewartには、広く存在するLocal Security Authority Subsystem Service（LSASS）の脆弱性を悪用するワームが、4月30日か5月1日に出現するだろうと予想し、見事に的中させた実績がある。

　一方ウイルス対策ソフトメーカーのTrend Microがまとめた分析結果によると、Netskyの最新亜種Netsky.ACのコード内で、作者らは自らがSasserワームも作成したと自慢しているという。

　このコードのなかには、次のようなメッセージが記されている。「おい、ウイルス対策ソフトメーカーたち、俺たちがsasserウイルスをプログラムしたことを知っているか? ああそれは本当さ! なぜsasserという名前にしたのか、わかるかい? ヒント：FTPサーバコードをSkynet.Vのコードと比べてみろ!!! ほら! おれたちはSkynetだ」

　またこの作者らは、自分たちがSasserを作成した証拠として、コンパイルすると実際のSasserワームとなる、Sasserワームのソースコードを含めている。

　Sasserのコードには、作者が用意した名前は含まれてはいない模様だ。このため、Sasserというネーミングに関してウイルス対策ソフトメーカーらをからかっているのが最も奇妙な部分だと、Stewartは述べている。

　「Netsky作者の手によるものなら、なぜコード内に名前を含めなかったのだろうか。彼らのこれまでのコメントはずいぶん口数が多いものだったのに」（Stewart）