Bugbearワーム、再び蔓延の兆し

　昨年秋に猛威を振るったBugbearワームの亜種、Win32.Bugbear.Bが感染を広げている。Bugbear.Bの最初の感染が報告されたのは6月4日。世界各国70万社からメールサーバの運営委託を受けている米MessageLabsは「6月5日朝の時点で115カ国、2万7000通の感染メールを遮断した」と語っている。

　MessageLabsによると、「初代のBugbearは発生後1週間で、32万通の感染メールを発信した」という。今週はもう1つ、驚異的な速度で感染を広げているSobig.Cが問題になっている。

　Bugbear.Bは、初代のBugbearと同様、大量の電子メールを介してWindowsパソコンに感染する。感染後はパソコン内の電子メールアドレスを検索し、見つけ出した各アドレス宛てに、自身の複製を添付したメールを送りつける。送信者の欄には、電子メールプログラム内にあるアドレスの1つを適当に選び出して使用する。

　つまり、実際に存在する人物を「隠れみの」として利用するため、感染していない電子メールとの識別が難しく、送信者の所有パソコンが感染しているかどうか判断するのが困難だ。また、Bugbear.Bは、感染システムのハードディスクとネットワーク共有しているコンピュータにも感染するという。

　感染したシステム上でセキュリティ／アンチウィルス関連のプログラムが動作している場合、Bugbear.Bはこれらのプログラムの停止を試みる。他にも、感染システムと同じネットワーク上にあるプリンタで、大量の不要データを印刷しようとする。

　さらに同ワームは、ユーザーがキーボードで入力した内容を記録するキーロガーをインストールする。キーロガーはパスワードを盗むのに用いられる方法だ。また、ポート1080を開き、攻撃者がシステムをコントロールできるようにしてしまう。

　Bugbear.Bが利用するのは米Microsoft Outlookの電子メール形式、MIME（Multipurpose Internet Mail Extensions）の欠陥だ。すでに2年前からこの欠陥を修正したパッチが公開されているが、一部のユーザーはいまだにパッチを当てていない。ちなみにパッチを当てていないOutlookでメッセージの内容を表示すると、パソコン上でワームを自動的に実行する。