Bagleに3つの新亜種--スパム対策手法をヒントに検知ソフトをすり抜ける?

　先週末に見つかったBagleワームの3つの新亜種（N、O、P）は、従来の亜種とは異なり、スパム対策のトリックを利用してウイルス対策ソフトの監視の目をすり抜けようとするものとなっているが、専門家らの考えでは、この試みはうまくいきそうにないという。

　Bagleワームは感染したPCのシステムに裏口を作り、これをメールのゲートウェイとして利用して、スパムを送信するものだが、このBagleは3月のはじめ頃から、暗号化されたZipファイルの形でメールに添付され、メール本文にはその暗号化されたファイルへのアクセスに必要なパスワードが含まれるようになっている。ウイルス対策ソフトメーカー各社はその後数日以内に、パスワードを検知してZipファイルを復号するように製品をアップデートした。

　しかし今回Bagle作者がリリースした3つの新亜種では、パスワードがグラフィックや画像ファイルの形になっているため、感染メールを単純にテキストスキャンするだけではパスワードを見つけられなくなっている。このトリックは、ウェブサイトで電子メールアドレスを表示する際に、インターネット上でスパムターゲットを探すロボットに見つからないようにするのによく用いられる方法だ。

　Bagle作者がスパム対策トリックを「善良な人々」に対して用いているのは皮肉なことだが、ウイルス対策ソフトメーカーにとっては大した問題にはならないだろう、とSophosのシニア・テクノロジーコンサルタント、Graham Cluleyは述べている。

　「作者がパスワードを普通のテキストではなく画像にしたのは、ウイルス対策ソフトメーカーが添付ファイルの中身をスキャンするのにパスワードを抽出していると考えたからだ。みんながスパム業者に見つからないようにするために、ウェブサイトで電子メールアドレスを画像にして公開している。Bagle作者はこの方法を、善良な人々に対して使ったのだ」（Cluley）

　Cluleyによると、Sophosは週末にシステムをアップデートし、新亜種も検知できるようにしたという。

　一方Symantec Security Responseのシニアマネージャー、Kevin Hoganは、Norton Antivirusも新亜種を検知できるようになると述べている。「我々の製品にある検知機能には影響しないだろう。我々は暗号化されたZip形式のワーム検知に（テキストパスワード）を用いてはいない。我々は完全にファイルを展開せずとも、必要な情報を得ることができる」（Hogan）