米Microsoftは米国時間1月3日,メールで感染を広げるウイルス(ワーム)「Sober.Z(CME-681)」に関する注意を呼びかけた。パソコンに感染したSober.Zは,1月6日になると特定サイトから悪質なプログラムを勝手にダウンロードして実行するという。1月6日以降はおよそ2週間に1回,ダウンロードを試みる。ウイルス対策ソフトの多くは,最新のウイルス定義ファイル(パターンファイル)で対応済み。
Sober.Zは,2004年以降感染を大きく広げている「Sober」ウイルスの変種の一つ。ほとんどの場合,メールに添付されて送られてくる。Soberの実体は単独の実行形式ファイル。Sober自身を圧縮したZIPファイルとして添付されて送られてくる場合もある。
Soberは,メールの本文を工夫してユーザーに添付ファイル(ウイルスの実体)を実行させることが特徴。例えば2005年11月には,ウイルス添付メールを,米連邦捜査局(FBI)や米中央情報局(CIA)からの警告メールに見せかける変種が出現している(関連記事)。
実行されたSober.Zは,パソコン中のアドレス帳などに記載されたメール・アドレスを収集し,そのアドレスあてにSober.Z添付メールを送信する。加えて,パソコンの起動のたびにSober.Zが実行されるようにレジストリを改変する。さらに,1月6日になると特定ドメインのサイトから悪質なプログラムをダウンロードして実行する。具体的には,フリーのホスティング・サイトである「free.pages.at」「home.arcor.de」「home.pages.at」「people.freenet.de」「scifi.pages.at」---に置かれたWebサイトから,悪質なプログラムをダウンロードおよび実行する。
1月6日以降は,ほぼ2週間おきにダウンロードを試みる。具体的には,1月20日,2月4日,2月18日,3月2日---にダウンロードするようSober.Zはプログラミングされているという。
対策は,基本的なウイルス対策を施すこと。ほとんどのウイルス対策ソフトでは,最新のウイルス定義ファイル(パターンファイル)で対応しているので,対策ソフトの利用が効果的。同社が提供する「悪意のあるソフトウエアの削除ツール」でも対応済みだという。送信元が信頼できないメールに添付されたファイルは開かないことも重要。Sober.Zにはセキュリティ・ホールを突く“機能”はないので,ユーザーが明示的に開かない限り実行されない。
Microsoftは「Security Advisory」において,現在話題になっているWindowsメタファイル(WMF)関連のセキュリティ・ホールとSober.Zは無関係であるとしている。
なお,Microsoftが今回注意を呼びかけたSober.Zは,「CME(the Common Malware Enumeration)イニシアティブ」によるCME-ID(番号)は「CME-681」(関連記事)。これは,フィンランドF-Secureが「Sober.Y」と名づけているウイルスと同じもの。F-Secureでは現地時間12月8日,Sober.Yは1月5日に動き出すとして注意を呼びかけている(関連記事)。
◎参考資料
◆Microsoft Security Advisory (912920) Systems that are infected with Win32/Sober.Z@mm may download and run malicious files from certain Web domains beginning on January 6, 2006
◆Malicious Software Encyclopedia: Win32/Sober.Z@mm
