Storm Worm新亜種が再度出現--ワームのパッチを装う

　Storm Worm（別名Snow Worm）の新しい亜種が、最近のワームに対するパッチを装いながら世界各地で広がりを見せている。この新しい亜種は米国時間4月12日に最初の報告がなされ、Trend MicroがNuwar.AOPと呼ぶワームを利用していると思われる。このワームのトロイの木馬部分は、KasperskyおよびTrend MicroではSmall、McAfeeではDownloader、SymantecではPeacomm、そして、Common Malware EnumerationではCME-711として知られている。

　iDefenseのKen Dunham氏によれば、この新しい亜種は、対セキュリティ機能を備えることで分析を妨害し、ウイルス対策機能による検出を逃れるためにパスワード保護された圧縮ファイル内に自身をコピーして送信する。さらに、検出防止術として電子メールは、異なるファイル名、パスワード、圧縮ファイル内のバイナリでランダム化されるという。

　ある情報筋によれば、電子メールの件名には以下の文字列が含まれるという。

• Worm Alert!（ワーム警報！）
• Worm Detected（ワーム発見）
• Virus Alert（ウイルス警報）
• ATTN!（注目！）
• Trojan Detected!（トロイの木馬発見）
• Worm Activity Detected!（ワームの活動を検知！）
• Spyware Detected!（スパイウェア発見！）
• Virus Activity Detected!（ウイルスの活動を検知！）

　SANS Internet Storm Centerによると、圧縮ファイル名には次の種類があるという。

• patch-（ランダムな4〜5桁の数字）.zip
• bugfix-（ランダムな4〜5桁の数字）.zip
• hotfix-（ランダムな4〜5桁の数字）.zip
• removal-（ランダムな4〜5桁の数字）.zip

　この新しい亜種が一旦実行されると、感染システム上にはrootkitがインストールされ、プライベートPtoPネットワーク上で交信を開始して自身をアップデートする。この亜種は、感染マシンから将来のバージョンを送信するという今後の攻撃の下地となる可能性もある。

　この亜種は、Microsoft Windowsを稼働するPCを標的にする。電子メールの添付ファイルは必ずウイルスのスキャンを実行してから開くことをお勧めする。