シマンテック:新型ワーム「Evaman」はさほど脅威でない

 新しい大量メール送信型ウイルスは、MyDoomの感染手法を1つか2つ真似て作られた可能性があるが、これが広範囲に被害を与える可能性は低い、とSymantecの関係者は話している。

 現地時間3日に同セキュリティソフトウェアメーカーが情報公開したワーム「Evaman」は、「Failed Transaction(トランザクションエラー)」、「Failure Delivery(配信エラー)」、「Returned Mail(配信不能)」をはじめとする、ランダムな件名の電子メールに添付される形で送りつけられる。

 Symantecのアジア太平洋地域担当シニア技術ディレクターTim Hartmanは、「Evamanは、受信トレイに入ってきた際の様子がMyDoomウイルスと非常に良く似ている」と語った。

 メールサーバから送信された本物の送信エラーメッセージであることを偽装するため、電子メールの本文には「The last e-mail sent by this account could not reach intended destination. E-mail has been returned as text file attachment.(本アカウントが送信した電子メールは送り先に送信できませんでした。メールの内容は添付のテキストファイルを参照下さい)」といった文章が書かれている。

 この文章の狙いは、受信者に添付の実行ファイルをクリックさせることにある。このファイルは、バックドアプログラムをインストールし、感染したPCからさらに多くのユーザーにワームを送りつけられるようにしてしまう。このウイルスは、今のところWindowsベースのシステムにしか感染しない。

 現在のところ、EvamanのターゲットはYahooの電子メールディレクトリ「People Search」に登録されたアドレスに限定されている。感染したマシンのワームは、このサイトから電子メールアドレスを入手して感染を拡大していく。

 当初の報道では、EvamanワームがMyDoomと同じくらい感染を拡大すると言われていたが、Hartmanはその後、この新たな脅威がさほど深刻なものではない、と見るようになった。

 自前のSMTPエンジンを使って増殖するMyDoomウイルスと違い、Evamanウイルスを含んだメッセージは、EarthlinkやAT&Tなど、米国に本社を置くISPが保有する既定のSMTPメールサーバ15個のうちの1つを利用する形でルーティングされる。

 Hartmanによると、このやり方がワームの感染拡大を抑えているという。同氏はCNETAsiaに対し、「Evamanは、複数のSMTPサーバを中継しながら送信される。しかし中継サーバはすべて、既にフィルタを有効にしている」と語っている。

 さらに同氏は、ウイルスが早期に発見されたため、同社には「大発生を防ぐための時間が十分にあった」と話している。現在までのところ、SymantecではEvamanワームの報告を顧客から2件しか受けておらず、いずれもアジア太平洋地域ではない。

 これらの要因を考慮し、Symantecは、レベル5を最高とする5段階評価で、このワームの脅威度をレベル2に指定している。ライバルのMcafeeも、Evamanウイルスのリスクを低く設定している。

 しかしHartmanは、ヨーロッパ企業が週明けを迎える5日に感染数が伸びる可能性もある、と警告している。さらに、「米国が独立記念日の連休明けを迎える火曜日にもう1つ山があるかもしれない」と付け加えた。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]