フィンランドF-Secureは現地時間12月8日,「Sober」ウイルスの変種「Sober.Y」は2006年1月5日に動き出すようプログラミングされているとして注意を呼びかけた。動き出すと,攻撃者のWebサイトから新たなウイルスをダウンロードするという。
11月以降,メールで感染を広げるSoberウイルスが猛威を振るっている。変種が続出しているためにウイルス対策ソフトで検出できない場合もある(関連記事)。F-Secureでは,20種類を超える変種を確認しているという。
同社によれば,変種のうち最も感染を広げているのがSober.Yで,感染数ではSober全体の40%を占めるという。このSober.Yは,1月5日に一斉に動作を開始するようプログラミングされている。動き出すと,定期的にWebサイトから新たなウイルスをダウンロードして,感染パソコンにインストールするという。
WebサイトのURLがSober.Yのプログラムにコーディングされていれば,そのサイトを特定して閉鎖することで事前に被害を防げる。ところがSober.Yではプログラム内にURLが含まれていない。日付をもとにアクセスするURLを作成し,日によってアクセス先を変更する。例えば,「http://people.freenet.de/gixcihnm/」といった具合である。「people.freenet.de」はフリーのホスティング・サイトであり,「gixcihnm」がSober.Yによって作成される部分。Sober.Yに含まれる独自のアルゴリズムによって,一見ランダムな文字列が作成されるため,予測することが難しい。攻撃者自身はアルゴリズムを知っているので,作成される予定の文字列で事前にアカウントを取得し,そのサイトにウイルスを置いておけば,Sober.Yによってダウンロードされる。
F-SecureではSober.Yを解析して,ダウンロード・サイトとして使われる予定のURLを計算した。2005年5月時点で,この解析は終了しているという。利用されるホスティング・サービスは主にドイツおよびオーストリアで運用されているものなので,それぞれの警察やISPに通知済みであるという。
同社ではダウンロード・サイトになる予定のURLを公開。これらへのアクセスをゲートウエイで遮断すれば新しいウイルスのダウンロードを防げるので,企業の管理者は参考にしてほしいとしている。
◎参考資料
◆How Sober activates
