米Symantecやトレンドマイクロなどは4月8日,Symantecをかたる偽メールなどで感染を広げるウイルス(ワーム)「Letum.A」を確認したことを発表した。同ウイルスは中間言語MSIL(Microsoft Intermediate Language)で記述されているため,.NET FrameworkをインストールしたWindowsパソコンやWindows Mobile搭載デバイスに感染する。

 Letum.Aは,実行されるとそのマシンに保存されているHTMLファイルからメール・アドレスを収集する。そしてそのアドレスあてに,自分自身のコピーを添付したメールを送信する。

 このとき,メールの送信元アドレスは「Symantec Security Response」,件名を「Warning!」あるいは「Virus Alert」,「Customer Support」などとしてSymantecから送られてきたセキュリティ情報に見せかける。

 メールの本文には以下のような文章を記述し,添付されているLetumウイルスを,Letumを駆除するツールに見せかける。

Dear Users

 Due to the high increase of the Letum worm, we have upgraded it to Category B. Please use our attached removal tool to scan and disinfect your computer from the malware.

 このメールにだまされて添付ファイル(test.exe)を実行すると,Letumに感染するとともに,感染をさらに拡大させることになる。

 なお,Letumはメールだけではなく,ニュースグループ経由でも感染を広げる。上記のメール本文と同じようなメッセージとともに,Letum本体をニュースグループに投稿する。

 セキュリティ・ベンダーなどをかたるのはウイルスの常套手段であり,めずらしいことではない。Letum.Aが特徴的なのは,中間言語MSILで記述されていること。このため,.NET Frameworkがインストールされている環境であれば,OSにかかわらず動作する。

 MSILで書かれたウイルスはLetum.Aが初めてではない。例えば2006年3月には,MSILで書かれた「Cxover.A」が確認されている。Cxover.Aも,.NET FrameworkをインストールしたWindowsパソコンおよびWindows Mobile搭載デバイスの両方に感染する。

 今回のLetum.AおよびCxover.Aの危険度は小さい。Symantecでは,Letum.Aの危険度を下から2番目の「2」,Cxover.Aの危険度は最も低い「1」に設定している。

◎参考資料
MSIL.Letum.A@mm(米Symantec)
WORM_LETUM.A(トレンドマイクロ)
MSIL.Cxover.A(シマンテック)