セキュリティ組織の米SANS Instituteは現地時間1月23日,メールやファイル共有で感染を広げる「Nyxem」ウイルスが感染を広げているとして注意を呼びかけた。同ウイルスは毎月3日,パソコンに保存されている文書ファイルなどを破壊しようとする。
Nyxemの呼び名はベンダーによってさまざま。「Blackmal」や「Grew」などとしているベンダーもある。今回SANS Instituteが取り上げたウイルスは,フィンランドF-Secureが「Nyxem.E」と名づけたNyxemの変種。なお,ウイルス(マルウエア)の“通し番号”であるCME IDは,同ウイルスには現在のところ付与されていない模様(関連記事)。
同じようにメールで感染を広げる「Sober」や「Netsky」ほどには感染速度は速くないものの,Nyxem.Eを添付したメールの流通量は確実に増えているという。あるメール・ゲートウエイでの観測では,1月23日から1月24日の24時間で4338通のNyxem.E添付メールを確認。この期間ではNyxem.Eが最も多く観測され,2番目に多かったNetsky.Qの2倍以上だった。
Nyxem.Eはパソコンに感染すると,その情報を特定のWebサイトへ送信する。そのサイトには,感染したパソコンの台数を表示するカウンタが置かれており,現時点ではおよそ63万の数値を表示している。SANS Insituteではこの情報が正しいかどうかは定かでないとしているものの,ある程度感染を広げていることは確かだろう。
同ウイルスが実行されると,パソコン中のファイルからメール・アドレスを収集し,そのアドレスあてに自分自身のコピーを添付したメールを送信する。また,アクセス可能な共有フォルダにNyxem.Eをコピーする。
加えて毎月3日になると,アクセス可能な特定のファイル(拡張子がdoc,xls,mdb,mde,ppt,pps,zip,rar,pdf,psd,dmpのファイル)の中身を「DATA Error [47 0F 94 93 F4 K5]」という文字列で上書きして破壊する。
さらに,パソコンにインストールされているセキュリティ・ソフトがパソコン起動時に実行されないようレジストリを変更するとともに,セキュリティ・ソフトのファイルを消去する。
対策は,ウイルス対策の基本を忠実に実施すること。ほとんどのウイルス対策ソフトでは対応済みなので,最新のウイルス定義ファイル(パターンファイル)を使っていれば検出できる。「メールの添付ファイルを安易に実行しない」「共有フォルダにパスワードを設定する」ことなども重要である。
◎参考資料
◆More on Nyxem(米SANS Institute)
◆More on Blackmal/Grew/Nyxem (file deletion payload)(米SANS Institute)
◆New mass mailer spreading (Blackmal/Grew/Nyxem)(米SANS Institute)
◆Nyxem.E(フィンランドF-Secure)
◆Nyxem.E is picking up(フィンランドF-Secure)
◆Nyxem.E upgraded to Radar 2(フィンランドF-Secure)
◆Not good(フィンランドF-Secure)
