Microsoftからのメールと偽装する新ワーム、Palyh

　発信元をMicrosoft.comと偽り、大量のメールを送りつける新ワームが急速に広まっている。ウイルス対策ソフト会社によると、このワームはローカルエリアネットワーク（LAN）経由でも広まり、被害者のパソコンにスパイウェアをインストールする可能性があるという。

　「Palyh」や「Mankx」と呼ばれるこのワームは、発信元アドレスを「support@microsoft.com」と偽っており、うっかり実行してしまうと、ターゲットのシステム内に保存されたファイルにある電子メールアドレスを使って、自己増殖するファイルを含んでいる。またこのワームは、LAN経由で他のWindowsマシンに感染する可能性もある。ファイルには「.pi」や「.pif」という拡張子がついているが、実際は「.exe」の付く実行ファイル。Windowsは、拡張子ではなくファイルの内部構造に従ってファイルを処理するので、ユーザーがこのファイルをダブルクリックすると、すぐに実行されてしまう。

　ウイルス対策ソフトメーカーKaspersky Labsによると、Palyhはターゲットのコンピュータに添付ファイルで送られるほか、LAN経由で各マシンのシステムに直接コピーされるという。Palyhは「MSCCN32.exe」という名前でWindowsディレクトリ下にコピーをつくる。そして、システムレジストリのAutoRunキーに、この実行ファイル登録する。それで、システムブート時にこのファイルがシステムメモリに読み込まれ、自動実行されてしまうことになる。

　Palyhは自己の複製ファイルをマシン内にコピーすると、感染ルーチンを作動させる。メール経由での感染では、Palyhはtxt、eml、html、htm、dbx、wabといった拡張子のファイルをスキャンし、メールアドレスと思われる行を選択する。そして、システムにインストールされている電子メールプログラムを迂回して、SMTPサーバを使い、見つかった電子メールアドレスに宛てて自分のコピーを送りつける。LAN経由での感染の場合、Palyhは、他のローカルマシンのWindows自動実行フォルダに自分自身をコピーする。

　「現在Palyhの被害が最も深刻なのは英国だ。だが、まもなく米国の人々が出勤してメールを開くと、状況が変わると思う。月曜の朝なので、警告を見なかったり、ウイルス対策パッケージを更新するチャンスがなかったりする可能性がある。このワームはsupport@microsoft.comからのメールを装うので、ほぼ９割の確率でメールユーザーはこれをクリックしてしまう」と、電子メールアウトソーシング会社MessageLabsでウイルスを専門としているアナリスト、Mark Toshakは述べている。