まるで説教強盗--Sasser.Eのコード内に脆弱性を警告するメッセージ

　ウイルス対策ソフトメーカーらは先週末、Sasserワームの第5番目の亜種を発見したが、これはドイツの警察当局がSasserの作者だと自供した18歳の男性を逮捕したわずか数時間後のことだった。

　Microsoftによると、最新亜種のSasser.Eは1週間前に出現したという。このワームはMicrosoft Windowsに広く存在する脆弱性を悪用するが、この脆弱性へのパッチをまだシステムに適用していないユーザーに警告まで出している。

　Symantecのセキュリティ対応センターでシニアマネージャーを務めるOliver Friedrichsは、「このワームをばらまいた人物は、ユーザーにシステムが脆弱であることを知らせようとしているようだ」と述べている。Symantecが このワームのコピーを最初に入手したのは9日午前1時（米国時間）だが、Friedrichsによるとこのワームの感染スピードが遅いことから、先週もっと早い段階で出現していた可能性があるという。

　Microsoftによると、ドイツ警察当局は7日午後、独ニーダーザクセン州に住む18歳の男性を逮捕したという。同社は情報提供者から得たSasser作成の容疑者に関する詳細情報を当局に提供した。ドイツ警察では、この容疑者が大量メール送付型ウイルスNetSkyの全28バージョンも作成したと考えている。

　ウイルス対策専門家らは、Sasser.Eの出現が作者逮捕の前か後かについて確証を得ていない。しかしMicrosoftは、Sasser.Eが作者逮捕の4日前に出現したと見ていると、同社のある関係者は述べている。

　「MicrosoftがE亜種を技術的分析したところ、この亜種は容疑者が逮捕される4日前の、3日に出現したことがわかった」（同関係者）

　このSasser最新亜種の感染スピードは、これまでの亜種よりも遅いとウイルス対策専門家らは考えている。ウイルス対策ソフトメーカーNetwork Associatesでは、Sasser.Eのセキュリティ脅威を低としており、競合するセキュリティ会社Symantecの5段階評価では「2」となっている。Sasser.Eが発見された8日夜以降、この亜種に感染したシステム数は、10万台に満たないだろうと、Network AssociatesのリサーチフェローJimmy Kuoは述べている。

　Sasserのこれまでの亜種は中程度の脅威と評価されており、最初の数日で50万台のコンピュータシステムに感染したとの見積もりもある。

　Sasserの最新バージョンは、Bagleワーム亜種の機能を停止させるために、同ワームがコンピュータのレジストリに書き込んだキーを削除する。これまでのSasserにはこの機能は含まれていなかった。

　Sasser.Eのコードには、感染したコンピュータのユーザーに対する次のような警告が含まれている。

1. このコンピュータには「MS04-011」の脆弱性が存在する
2. Blasterワームに似た危険なコンピュータウイルスがこのコンピュータに感染するおそれがある
3. www.microsoft.comサイトから「MS04-011 LSASS 」パッチをダウンロードし、これでコンピュータをアップデートするように
4. これは悪質な行為の防止に取り組むSkyNetチームからのメッセージだ

　ウイルス対策会社のPanda Softwareでは、攻撃のタイミングから考えて、ある「犯罪者集団」がSasserをつくっている可能性があると考えている。同社では、独で容疑者が逮捕された後でも感染報告を受け取っていると、その理由を説明している。