マイクロソフト危うし--MyDoomの開けた「裏口」を悪用する新ウイルス登場

　MyDoomワームの最新バージョンの勢いは急速に衰えたようだが、27日（米国時間）には別のプログラムによる二次感染が増えている。こうしたプログラムのなかには、MicrosoftにDoS攻撃を仕掛けるものもある。

　亜種の多いMyDoomワームの最新版となる「MyDoom.M」は26日に登場後、ワーム作者が考案した新たな感染拡大方法によって、Googleなどの検索サイトに混乱を引き起こした。

　だが、このワームは27日には急速に衰退し、感染のピークはワーム出現後ほんの12時間だけだったとセキュリティ専門家らは述べている。

　しかし、MyDoom.Mは、感染したまま修復されていないPCによって、副次的な被害を与える重大なリスクを残している。セキュリティ大手Symantecの研究者らによると、このワームは、自らを広めるだけでなく、感染したPCに裏口を設け、他の悪質なプログラムがこうしたPCを使えるようにすることを主な目的としているようだという。

　こうした悪質な寄生プログラムの最初のものとなる「Zindos.A」が27日にリリースされた。Zindos.Aは、Microsoftのメインサイトに攻撃を仕掛け、これを使えなくするようにプログラムされている。

　Symantecの報告によると、Zindos.AはIPアドレスをランダムに漁り、MyDoom.Mの中にある破壊的なプログラム「Zincite.A」が開いておいたポートを探す。そして、脆弱なPCを見つけると、ZindosはそのPCに自らをインストールした後、即刻Microsoft.comドメインへのDoS攻撃を開始するという。

　Symantecセキュリティ対応センターでシニアディレクターを務めるVincent Weaferによると、27日午前の時点ではZindos.Aの感染はそれほど広まっていないようだという。Zindosは、MyDoomの感染を悪用するための試験的なプログラムのようだ、とWeaferは指摘する。「MyDoom作者とは別のグループの手になるワームで、この裏口を利用しようとしている」（Weafer）

　Microsoftでは現在Zindosの調査を行なっており、またいかなる攻撃の被害もないと同社関係者は述べている。「Microsoftは、顧客がMicrosoft.comにアクセスし続けられるよう保証するための措置を講じた。Microsoft.comネットワークは安定しており、顧客は常にアクセスできている」と同社は声明を発表した。

　しかし今回の状況は、あるウイルスの感染を別のウイルスの呼び水に使うという、新たな、そしておそらくは危険な傾向を示している、とWeaferは指摘する。MyDoom.Mには感染システムのリストを保持するメカニズムがあり、ワーム作者は競合する攻撃者に感染PCを乗っ取られることなく、新たな悪質プログラムをアップロードできる。同様のシステムは1つ前のバージョンにあたるMyDoom.Lでも見つかっており、MyDoom.Mが急速に感染を拡大したことと関係があるかもしれない、とWeaferは述べている。