シマンテック：新型ワーム「Evaman」はさほど脅威でない

　新しい大量メール送信型ウイルスは、MyDoomの感染手法を1つか2つ真似て作られた可能性があるが、これが広範囲に被害を与える可能性は低い、とSymantecの関係者は話している。

　現地時間3日に同セキュリティソフトウェアメーカーが情報公開したワーム「Evaman」は、「Failed Transaction（トランザクションエラー）」、「Failure Delivery（配信エラー）」、「Returned Mail（配信不能）」をはじめとする、ランダムな件名の電子メールに添付される形で送りつけられる。

　Symantecのアジア太平洋地域担当シニア技術ディレクターTim Hartmanは、「Evamanは、受信トレイに入ってきた際の様子がMyDoomウイルスと非常に良く似ている」と語った。

　メールサーバから送信された本物の送信エラーメッセージであることを偽装するため、電子メールの本文には「The last e-mail sent by this account could not reach intended destination. E-mail has been returned as text file attachment.（本アカウントが送信した電子メールは送り先に送信できませんでした。メールの内容は添付のテキストファイルを参照下さい）」といった文章が書かれている。

　この文章の狙いは、受信者に添付の実行ファイルをクリックさせることにある。このファイルは、バックドアプログラムをインストールし、感染したPCからさらに多くのユーザーにワームを送りつけられるようにしてしまう。このウイルスは、今のところWindowsベースのシステムにしか感染しない。

　現在のところ、EvamanのターゲットはYahooの電子メールディレクトリ「People Search」に登録されたアドレスに限定されている。感染したマシンのワームは、このサイトから電子メールアドレスを入手して感染を拡大していく。

　当初の報道では、EvamanワームがMyDoomと同じくらい感染を拡大すると言われていたが、Hartmanはその後、この新たな脅威がさほど深刻なものではない、と見るようになった。

　自前のSMTPエンジンを使って増殖するMyDoomウイルスと違い、Evamanウイルスを含んだメッセージは、EarthlinkやAT&Tなど、米国に本社を置くISPが保有する既定のSMTPメールサーバ15個のうちの1つを利用する形でルーティングされる。

　Hartmanによると、このやり方がワームの感染拡大を抑えているという。同氏はCNETAsiaに対し、「Evamanは、複数のSMTPサーバを中継しながら送信される。しかし中継サーバはすべて、既にフィルタを有効にしている」と語っている。

　さらに同氏は、ウイルスが早期に発見されたため、同社には「大発生を防ぐための時間が十分にあった」と話している。現在までのところ、SymantecではEvamanワームの報告を顧客から2件しか受けておらず、いずれもアジア太平洋地域ではない。

　これらの要因を考慮し、Symantecは、レベル5を最高とする5段階評価で、このワームの脅威度をレベル2に指定している。ライバルのMcafeeも、Evamanウイルスのリスクを低く設定している。

　しかしHartmanは、ヨーロッパ企業が週明けを迎える5日に感染数が伸びる可能性もある、と警告している。さらに、「米国が独立記念日の連休明けを迎える火曜日にもう1つ山があるかもしれない」と付け加えた。