MyDoomワーム用にMicrosoftがリリースした公式パッチを装う大量メール送信ワーム「Sober」の最新亜種が登場した。
8日(現地時間)に発見されたSober.Dは、技術的にはその前の亜種、Sober.Cと同じで、感染したシステム内で見つかったメールアドレスに、独自のSMTPエンジンを使って自らを送りつける。しかしSober.Dは、Microsoftからのものと見せかけた偽の警告とエラーメッセージを表示する点で、Sober.Cとは異なっている。
「このワームは、MyDoomのある亜種に対する保護パッチを装ったメールの形で届く」とウイルス対策ソフトメーカーSophosのシニア・テクノロジーコンサルタント、Graham Cluleyは述べている。「Microsoftから届いたメールのように見えるので、人々は添付ファイルをダブルクリックしてしまうだろう」
フィンランドのウイルス対策会社F-Secureによると、Sober.Dは、実行可能形式のファイルか、もしくはパスワード保護されたZipアーカイブの形で、メールに添付されて出回っているという。ユーザーがこうした添付ファイルをクリックすると、ワームはパソコンをスキャンし、そのパソコンがすでに感染していないかどうかをチェックする。
スキャンしたシステムが未感染であれば、小さな箱と「パッチは正常にインストールされました」というメッセージが表示される。また、すでにSober.Dに感染していれば、「このシステムには、このパッチをインストールする必要はありません」というメッセージが出る。
さらにSober.Dは、受け取り手のシステムに合わせて言語を変える。受け取り手のメールアドレスのドメイン末尾が「de」、「ch」、「at」、「il」、「nl」、「be」であれば、テキストはドイツ語になり、サブジェクト行は「Microsoft Alarm: Bitte Lesen.」となる。ドメイン末尾がそれ以外の場合は、サブジェクト行は英語で、「Microsoft Alert: Please Read!」となっている。Curleyによると、以前のSoberバージョンも二カ国語対応だという。
Microsoftからのアップデート通知を装うワームが登場したのは今回が初めてではない。今年1月にはWindows XPの緊急パッチを装うワーム、Xombe(別名Trojan.Xombe)が出現している。Xombeは2003年に最も猛威を振るったワーム、Swenを模倣したものと見られている。Swenは、Microsoftからのセキュリティ警告を装った初のワームと考えられている。
Microsoftでは、ユーザーに電子メールでパッチを送付することはないと常に主張していることから、ユーザーはこうしたメッセージを無視すべきだと述べている。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向け に編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」