Dumaruウイルスの新亜種が流行中--メールアドレスやパスワード盗難の危険

Graeme Wearden(ZDNet UK)2004年01月27日 09時31分
  • このエントリーをはてなブックマークに追加

 ユーザーのアドレス帳やパスワードを盗もうとする、Dumaru電子メールウイルスの最新亜種が出回っている。

 IT管理者やコンピュータユーザーは、ユーザーのパスワードを盗もうとするこの新メールウイルスに警戒するよう、警告が出されている。

 このワームはDumaruウイルスの最新バージョンで、23日(英国時間)に初めて検知された。ウイルス対策ソフトウェアメーカーの間では、この亜種の呼び方が「Dumaru.Y」と「Dumaru.J」の2通りに分かれている(2003年8月に最初のバージョンが初めて見つかって以来、何種類の亜種を確認したかによる)。しかしユーザーが誤ってこのワームを開いてしまうと、知らないうちに重要なパスワードが盗まれてしまうという点では、各社の見解が一致している。

 セキュリティ会社のMessageLabsは26日、同社が遮断したこのワームのコピー数に基づき、このワームの危険度を高とした。

 Dumaru.J/Yは、送信者が「fuckensuicide@hotmail.com」で、サブジェクト行が「Important information for you. Read it immediately!」とある電子メールとして、ユーザーのメールボックスに届く。このメールには、「myphoto.zip」というファイルが添付されており、その中身は実行可能ファイルになっている。

 この実行可能ファイルを実行すると、プログラムはユーザーのローカルマシンにあるアドレス帳から電子メールアドレスを収集し、自らのコピーをそのアドレスに送信する。

 さらに厄介なのは、このワームはこっそりネットワークポートを開き、ウイルス作者が感染したパソコンを後で制御できるようにしている可能性がある点だ、と専門家らは指摘する。さらに恐ろしいのは、Dumaru.J/Yがユーザーのキーボード入力を監視しているとされることだ。

 MessageLabsの主任情報セキュリティアナリスト、Paul Woodによると、Dumaru.J/Y はeGold電子通貨サービスのユーザーのパスワードを監視していると考えられているという。

 このウイルスの添付ファイルは実行可能形式ではなくzip形式なので、ウイルスを遮断するよう設定されたネットワークセキュリティシステムをすり抜ける可能性が高い。こうしたネットワークセキュリティシステムでは通常、.exeファイルはブロックするが、.zipファイルは通過させてしまうことが多いためだ。

 ユーザーが添付ファイルを解凍してその中身を実行しない限り、Dumaru.J/Yはアクティブにならない。解凍されたファイルの名前には多数の空白が含まれており、末尾の.exeが隠れ、一見JPEG画像ファイルであるかのように見える。

 26日早朝(英国時間)までに、Messagelabsでは1万4000件のDumaru.J/Y を検知しており、米国のコンピュータユーザが活動を始める同日午後には、さらにこのワームの活動も急増すると予想している。また同社ではDumaru.Aが高レベルで活動するのも検知している。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加