logo

マイクロソフト公式パッチを装う「Sober.D」出現

Munir Kotadia(ZDNet UK)2004年03月09日 08時40分
  • このエントリーをはてなブックマークに追加

 MyDoomワーム用にMicrosoftがリリースした公式パッチを装う大量メール送信ワーム「Sober」の最新亜種が登場した。

 8日(現地時間)に発見されたSober.Dは、技術的にはその前の亜種、Sober.Cと同じで、感染したシステム内で見つかったメールアドレスに、独自のSMTPエンジンを使って自らを送りつける。しかしSober.Dは、Microsoftからのものと見せかけた偽の警告とエラーメッセージを表示する点で、Sober.Cとは異なっている。

 「このワームは、MyDoomのある亜種に対する保護パッチを装ったメールの形で届く」とウイルス対策ソフトメーカーSophosのシニア・テクノロジーコンサルタント、Graham Cluleyは述べている。「Microsoftから届いたメールのように見えるので、人々は添付ファイルをダブルクリックしてしまうだろう」

 フィンランドのウイルス対策会社F-Secureによると、Sober.Dは、実行可能形式のファイルか、もしくはパスワード保護されたZipアーカイブの形で、メールに添付されて出回っているという。ユーザーがこうした添付ファイルをクリックすると、ワームはパソコンをスキャンし、そのパソコンがすでに感染していないかどうかをチェックする。

 スキャンしたシステムが未感染であれば、小さな箱と「パッチは正常にインストールされました」というメッセージが表示される。また、すでにSober.Dに感染していれば、「このシステムには、このパッチをインストールする必要はありません」というメッセージが出る。

 さらにSober.Dは、受け取り手のシステムに合わせて言語を変える。受け取り手のメールアドレスのドメイン末尾が「de」、「ch」、「at」、「il」、「nl」、「be」であれば、テキストはドイツ語になり、サブジェクト行は「Microsoft Alarm: Bitte Lesen.」となる。ドメイン末尾がそれ以外の場合は、サブジェクト行は英語で、「Microsoft Alert: Please Read!」となっている。Curleyによると、以前のSoberバージョンも二カ国語対応だという。

 Microsoftからのアップデート通知を装うワームが登場したのは今回が初めてではない。今年1月にはWindows XPの緊急パッチを装うワーム、Xombe(別名Trojan.Xombe)が出現している。Xombeは2003年に最も猛威を振るったワーム、Swenを模倣したものと見られている。Swenは、Microsoftからのセキュリティ警告を装った初のワームと考えられている。

 Microsoftでは、ユーザーに電子メールでパッチを送付することはないと常に主張していることから、ユーザーはこうしたメッセージを無視すべきだと述べている。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向け に編集したものです。

-PR-企画特集