トレンドマイクロのウイルス解析チーム「TrendLabs」(トレンドラボ)は2010年9月上旬、ユーザーをワームのダウンロードへと導く不正なリンクを含んだスパムメールが大量に出回っていることを確認した。このメールの不正リンクをクリックすると、「WORM_MEYLME.B」として検出されるワームが組み込まれたサイトに誘導される。このワームは、様々な感染経路から拡散すると同時に、重要データの収集、バックドア用コンポーネントのインストールといった不正活動を実行することが確認された。

「Here you have」というありがちな件名で拡散を狙う

 トレンドラボは9月上旬、件名に「Here you have」(こちらになります)と記してユーザーをだまそうするスパムメールを確認した。メール本文には、「This is the document I told you about,」(こちらがお話した書類です)という文章が記されており、あたかもユーザーが受信する予定であったかのように装っていた。別の例では、件名に「hi」とだけ記されたもの、メール本文内に動画ファイル(拡張子WMV)へのリンクを装ったものも確認された。いずれもメール内にリンクが張られており、そのリンクをクリックすると、ユーザーは「WORM_MEYLME.B」が組み込まれた不正サイトに誘導され、気付かないまま、このワームをダウンロードしてしまう。

図1●スパムメール「Here you have」のサンプル
図1●スパムメール「Here you have」のサンプル

 この「WORM_MEYLME.B」は、複数の不正活動によりユーザーに深刻な被害をもたらす。まず、“wuauserv”というレジストリキーの削除。これにより、Windowsの自動更新サービスが無効になる。次にレジストリ値の追加。これにより、特定のファイルを実行するだけで、このワームのコピーが自動実行される。さらに、感染したコンピュータ内のウイルス対策製品に関連するサービスの終了および削除も行う。

 セキュリティ上の深刻な問題は、このワームが複数の経路から感染すると同時に、情報収集機能やバックドア用コンポーネントのインストール機能を備えている点である。

複数の感染経路で拡散

 「WORM_MEYLME.B」は、以下のような複数の感染経路を介して自身のコピーを拡散させる。

●スパムメール
 このワームは、侵入したコンピュータ内で実行されると、まずMicrosoft Outlookのメールアドレスを収集し、MAPI(Messaging Application Protocol Interface)を用いて収集したメールアドレスあてにスパムメールを送信する。スパムメール内には、このワームの自身のコピーへのリンクが張られている。さらに「Yahoo! Mail」のメールアドレスも同様に収集し、「SendEmail」という無料アプリケーションを利用してメールを送信する。SendEmailは、「Yahoo! Mail」や「Gmail」などのサーバーに匿名のメールを送信することができる。スパムメール内には、以下のリンクが張られている。

http://<省略>ania.co.uk/yahoophoto/PDF_Document21_025542010_pdf.scr

●リムーバブルドライブ
 このワームは、“AUTORUN.INF”というファイルも作成する。このINFファイルには自動実行のための文字列が含まれており、例えば、このファイルが保存されたドライブにユーザーがアクセスすると、そこに含まれているワームのコピーが自動的に実行される。こうして、リムーバブルドライブによる感染活動が可能となる。

●ネットワーク共有フォルダ
 このワームは、感染コンピュータがネットワークに接続している場合、ネットワーク共有フォルダーを介して感染する。感染したコンピュータからネットワーク上の他のコンピュータへの感染には、「VBS_MEYLME.B」として検出される不正なVBScriptが使用される。これにより、ワームはネットワークに接続しているコンピュータのCドライブからHドライブまでの各ドライブ内に、“N73.Image12.03.2009.JPG.scr”または“<コンピュータ名> CV 2010.exe”というファイル名で自身のコピーを作成する。

図2●「WORM_MEYLME.B」による感染フロー
[画像のクリックで拡大表示]

 今回、感染件数が非常に多かったため、一部では、この「WORM_MEYLME.B」は「ランダムに大量のメールを送信するマスメーラーの再来ではないか」とも指摘されていた。しかし、さらなる調査により、このワームに関連する大量のスパムメール自体は2010年7月17日以前にも確認されており、当初は「アフリカ連合」(AU)や「北大西洋条約機構」(NATO)といった組織の人事部をターゲットにした標的型のスパムメールだったことが判明した。それが感染経路の複雑さの影響もあってターゲットを逸脱し、その結果、今回のように他の企業にもランダムかつ大量に送信されるマスメーラーの傾向を帯びてきた。