トロイの木馬「Kirvo」が出現--Spybotワームの取得を試みる

　Microsoft MSN MessengerとAmerica Online（AOL）のInstant Messengerのユーザーをターゲットとした悪質なメッセージが出回っている。このメッセージには、トロイの木馬や危険なワームへの感染を目的としたリンクが含まれている。

　トロイの木馬「Kirvo」への感染はまず、インスタントメッセージ（IM）ユーザーのもとに、「友達」リストに載っている他のユーザーから送信されたものに見せかけたメッセージが届くところから始まる。セキュリティ対策企業Symantecによると、このメッセージには、あるウェブサイトへのリンクが記載されており、それをクリックするとKirvoのコピーがPCにロードされるという。Kirvoは起動後に、Spybotのコピーを取得するようにあらかじめプログラムされている。Spybotは、ソフトウェアの脆弱性を悪用することでユーザー動作を密かに調べる、危険なワームである。

　Symantecでアジア太平洋地域および日本を担当するシステムエンジニアディレクターのTim Hartmanによると、Kirvoは、Spybotのほか、ゾンビPCネットワークを使って、感染の標的とするマシンを探し出すという。

　「（Kirvoの）動作は、ユーザーに依存している。誘惑にかられたユーザーがリンクをクリックすることで、Kirvoは起動する」とHartmanは述べる。「Kirvoは、起動後、Spybotの亜種をダウンロードする。脆弱性を悪用するSpybotこそ、本物のワームだ。Kirvoの開発目的は、Spybotの拡散を支援し、Spybotに感染したゾンビPCのネットワークをインターネット上で拡大させることにあるようだ」（Hartman）

　米国時間21日現在、MicrosoftとAOLからのコメントは得られていない。

　ウイルス対策企業McAfeeのマーケティングディレクターAlan Bellによると、KirvoやSpybotに関与する人物は、ワームのコピーを散布するのに、感染PCやリダイレクトサービスを利用するため、警察当局による捜査は難航しているという。

　「IPアドレスが頻繁に変わるネットワークを利用している場合--ダイアルアップ接続や、一部のブロードバンド接続など--IPアドレスをトラッキングするサービスを利用することが可能だ」とBellは述べる。「これを利用すると、IPアドレスが変わるたびに、そのアドレス宛のリクエストがリダイレクトされるようになる。捜査当局が元のIPアドレスを追跡しても、ゾンビ化したコンピュータを所有する会社に行き着くだけだろう」（Bell）

　Bellによると、Spybotは、インターネット上で最も広まっているワームの1つだという。また、McAfeeが実施した最近の調査によると、ボットによる活動は、2005年第1四半期から第2四半期にかけて300％以上も増加したとBellは述べた。