米Computer Associates International(CA),英MessageLabs,米McAfeeは米国時間7月26日に,電子メールを大量送信するワーム「Mydoom.A」の亜種「W32/Mydoom.o@MM(Mydoom.O)」について警告を発した。CA社による危険度評価は「高」。「非常に活発で,急速に感染を広げている」(CA社)という。

  Mydoom.Oは,検索エンジンを利用して,新たなターゲットを探す点が特徴。まず「DOC」「TXT」「HTM」「HTML」形式のファイルからドメイン名を抽出し,「Lycos」「AltaVista」「Yahoo」「Google」を使って「e-mail」のキーワードで検索を行う。このようにしてWebベースの電話帳や会員名簿,ディスカッション・ボード,ホーム・ページなどから電子メール・アドレスを収集する。また,これによりトラフィックが急増し,サービス拒否(DoS)攻撃を引き起こす可能性がある。

 Mydoom.Oに内蔵されているリンクは以下の通り。

・http://search.lycos.com/default.asp?lpv=1&loc=searchhp&tab= web&query=%s
・http://www.altavista.com/web/results?q=%s&kgs=0&kls=0
・http://search.yahoo.com/search?p=%s&ei=UTF-8&fr=fp-tab-web-t&cop= mss&tab=
・http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=%s

 Mydoom.Oは自身にSMTPエンジンを内蔵しており,抽出した電子メール・アドレスに自身の複製を送りつける。電子メールは以下のような内容で届く。
-------------------------------------------------------------

発信者:偽装アドレス(「mailer-daemon@」「noreply@」が含まれる)

件名:ランダムに変化する
・hi
・delivery failed
・Message could not be delivered
・Mail System Error - Returned Mail
・Delivery reports about your e-mail
・Returned mail: see transcript for details
・Returned mail: Data format error instruction
・MAILER-DAEMON
・"Mail Administrator"
・"Automatic Email Delivery Software"
・"Post Office"
・"The Post Office"
・"Bounced mail"
・"Returned mail"
・"Mail Delivery Subsystem"

添付ファイル:UPX v1.0xで圧縮されたZIP形式(27Kバイト)
-------------------------------------------------------------

 CA社はMydoom.Oについて,「さまざまな技法を駆使した『混合型』あるいは『ハイブリッド型』のワームだ」と説明する。「例えば,ファイル共有,電子メール・アドレスの偽装,トロイの木馬といった手法を組み合わせて,危険なペイロードを送り込もうとする」(同社)

◎関連記事
猛威を振るう「Mydoom」ウイルス,その“手口”を解説する
「1月はMydoomが猛威,巧妙化するウイルスに気をつけろ」――IPA
新たなワーム「Mydoom」が急速に拡大,「Sobig.Fなみの感染力」とアンチウイルス・ベンダー各社が警告
「次々と亜種が登場,ワーム作成者どうしの勢力争いか?」,アンチウイルス・ベンダーが分析
「ソーシャル・エンジニアリングに気をつけろ」──専門家が警告
「セキュリティ・ホール発見からワーム出現までの期間が過去5年で劇的に短縮」,米企業の調査
「混合型の攻撃が増加」,米Symantecがインターネット・セキュリティに関する調査結果を発表
「サイバー犯罪の被害額は3年連続で低下,ただし油断は禁物」,米CSIの調査

[発表資料(CA社)]
[発表資料(MessageLabs社)]
[発表資料(McAfee社)]