大量の電子メールを送りつけるSobigウイルスの強力な新亜種が登場

　電子メールサービスプロバイダーのMessageLabsによると、2カ月前に欧米で大混乱を引き起こした電子メールウイルスのSobigが感染力の強い新しい形で再び現れた。同社では感染速度の高さから同ウイルスの警戒レベルを高く設定している。

　同社によると、「W32/Sobig.F-mm」というコード名を持つこの新ワームは、米国時間の8月18日に現れたという。同ワームはいずれのコピーも発生源は米国で、現在までのところ、米国、デンマーク、およびノルウェーで活動が確認されている。また、間接的な証拠からはアジア太平洋地域への感染も見られる。

　MessageLabsは米国時間の同19日、事例の21％が英国内で見られることも明らかにした。Sophosウェブサイトでも、同アンチウイルスソフトウェアベンダーに「各方面からこのワームに関する報告が寄せられている」ことを示唆している。

　「当初の分析から、Sobig.Fは感染力の高い電子メール大量送信型のウイルスであると思われる。また、Sobig.Fは本質的に多型性だとも思われる。アドレスも詐称しており、必ずしも実際の送信者のものではない」（MessageLabsの声明）

　送り主はibm.com、zdnet.comまたはmicrosoft.comといった著名なドメインからのように見える。件名も、一般的には「Re: Details,」、「Resume」、あるいは「Thank you」などとなっている。

　添付書類の名前については、「your_document.pif」、「details.pif」、「your_details.pif」、「thank_you.pif」、「movie0045.pif」、「document_Fall.pif」、「application.pif」、そして「document_9446.pif」などがある。

　同ウイルスはWindowsのアドレス帳やインターネットのキャッシュなど、コンピュータ上の複数の場所から電子メールのアドレスを集め、すべてに電子メールを送りつける。同ウイルスはメッセージの送信者についてもランダムに選択した電子メールアドレスを使って捏造し、感染したメッセージが他人から送られたかのようにてしまう。

　MessageLabsの分析によると、Sobig.Eは電子メールの送信に利用する電子メールエンジンを「マルチスレッド化」しているため、前バージョンよりも電子メールアドレスの送信効率が高まっているという。同ウイルスの初期バージョンではタスクもしくはスレッドの完了を待たなければならなかったが、Sobig.Eは複数の電子メールを同時に送信することができ、スパムエンジンの効率が大幅に高まっている。

　またMessageLabsによると、ローカルにインストールされたアンチウイルスのセキュリティをかいくぐるため、新しいコピーが生成されるたびにファイル末尾にゴミが付加され、ファイルサイズが変化するようになっているが、平均的なサイズは約74Kバイトだという。