米マイクロソフトからの警告を装うトロイの木馬型ウイルス「Xombe」

　米Microsoftのセキュリティチームから送信されたメッセージを装う電子メールに、「Xombe」と呼ばれる危険なトロイの木馬型ウイルスが潜んでいる。

　XombeはTrojan.Xombe、Downloader-GJ、またはTroj/Dloader-Lとも呼ばれ、米国時間9日に配信されていた。これはWindows XPオペレーティングシステム向けの重要なアップデートを装っており、実行するとウェブから悪質なバックドアコンポーネントをダウンロードしようとする。

　これは、やはりMicrosoftからのセキュリティ関連の警告を装って大量のメールを送りつける、Swenという昨年最も広範に感染したワームの1つを真似たようだ。

　しかし、XombeはまだSwenほど広範には感染していない。米国時間12日午前の時点で、前者は電子メールセキュリティベンダーの米MessageLabsが対処した悪質ウイルスのトップ10には入っていない。だが、第2位だったSwenのほうは、過去24時間で約7000件の報告があった。

　セキュリティベンダーの米iDefenseで悪質コード対策管理マネジャーを務めるKen Dunhamによると、Swenの成功を見たウイルス作家が、さらに多くの人々をだまして悪質なコードを実行させるために、正式に見える電子メールやウェブサイトの作成を始めたという。

　windowsupdate@microsoft.comというアドレスから送信されたように見えるこの電子メールは、「Windows XP Service Pack 1（Express）- Critical Update」という件名で、MicrosoftのInternet Explorer、Outlook、およびOutlook Expressが持つ脆弱性を修正するためにwinxp_sp1.exeという添付書類を実行するようユーザーに指示している。

　Dunhamによると、この添付書類を実行するとmsvchost.exeというファイルがダウンロードされ、これがWindowsのレジストリにアラートを出し、ハッカーからのコマンドを受け付けるよう特定のポートを開かせるのだという。

　アンチウイルスベンダーの大半は既に署名のアップデートを行っているが、最新のアンチウイルスアプリケーションを持っていないユーザーには感染する可能性があり、このトロイの木馬型ウイルスの作者が大量のPCを乗っ取るのを助けてしまう。Dunhamによると、「大量のゾンビコンピュータ」が集結すると、攻撃者はこれらを利用してID詐称や金融詐欺などの重大な犯罪を実行できるようになるという。

　セキュリティベンダーのSymantecによると、Xombeを開くのはWindows XPのユーザーだけの可能性が高いが、これはWindows XP以外に、Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、そしてWindows Server 2003の各システムにも影響を与えるという。