今回は「WORM_SKIPI.A」(スカイピ)の動作を検証する。WORM_SKIPI.Aは2007年9月に存在が確認されたワームである。最大の特徴は,Skypeを利用したワーム活動で自身を頒布する,世界初の「Skypeワーム」ということだ。2007年9月11日,アメリカ,ヨーロッパ,中東,アジアなど広い地域から感染報告が集まったため,トレンドマイクロではこのワームの流行に対して警告を発令している。
検証のため,いつもの通り,WORM_SKIPI.Aを検証環境にコピーし,ファイル名は分かりやすく「SKIPI-A.exe」とした。特徴としてSkypeを利用するワームであることが分かっているので,検証環境にもSkypeをインストールする。ただし,感染環境をインターネットに接続することはできないので,Skypeはずっと「接続中」状態であり,メッセージの送受信を行うことはできない。また,ここではコピーされたSKIPI-A.exeのアイコンはJPEG画像ファイルのアイコンに偽装されていることが分かる(図1)。このワームが送るSkypeメッセージには,画像を送る旨の内容が書かれていることと併せ,ユーザーに自身のファイルを画像ファイルと間違えさせるためのだましテクニックだ。
早速,この状態でSKIPI-A.exeをダブルクリックして実行した。特に表面上は何も起こっていないように見えたが,数十秒間「stwinsdat.exe がSkypeと連携しようとしています」というダイアログが表示された(図2)。不正プログラムなどに勝手にメッセージ送信させないためのSkypeのセキュリティ機能による表示であろう。実行したのはSKIPI-A.exeだったので,「stwinsdat.exe」だとファイル名が異なるようだが,不正プログラムでは起動後に自身のコピーを作成,起動して本格的な活動はコピーが行うことが多い。このstwinsdat.exeはSKIPI-A.exeが作成したコピーと推測される。
