ウイルスが送信するメッセージの一例(Kasperskyの情報から引用)
ウイルスが送信するメッセージの一例(Kasperskyの情報から引用)
[画像のクリックで拡大表示]

 ロシアKaspersky Labは現地時間9月22日,Windows Liveメッセンジャー(MSNメッセンジャー)で感染を広げる新しいウイルス(ワーム)が出現したとして注意を呼びかけた。同ウイルスの特徴は,感染を広げるためのメッセージに“工夫”を施すことで,米Microsoftが提供するブロック機能を回避すること。

 Kasperskyの情報によると,今回確認されたウイルスは,メッセージ中のリンクを使って感染を広げる。感染を広げるためのメッセージには,画像ファイルのURLに見せかけたリンクが記述されている。ユーザーがこのリンクをクリックすると,拡張子が「.pif」の実行形式ファイルがダウンロードされる。

 このファイルの実体は,別のファイルをダウンロードして実行する「ダウンローダ」。ユーザーが実行してしまうと,勝手に広告を表示する「アドウエア」やスパイウエアなどがダウンロードされて実行される。加えて,リンクを記したメッセージを他のユーザーに送信するウイルスの実体「IM-Worm.Win32.Licat.c」がダウンロードおよび実行される。

 「ウイルスの実体をダウンロードさせるリンクを記したインスタント・メッセージを送信して感染を広げる」ウイルスは今までに多数出現しており,めずらしいものではない。今回のウイルスが過去のウイルスと異なる点は,Microsoftのブロック機能を回避する---ブロック機能の脆弱性を突く---こと。

 今回のウイルスがまず実行させるファイル(ダウンローダ)の拡張子は「.pif」。.pifは「Program Information File」の略で,MS-DOSアプリケーションへのショートカット・ファイルに付けられる拡張子である。だが,実行形式ファイル(.exe)の拡張子を.pifに変更しても,実行形式ファイルは問題なく実行できる。

 このため,拡張子を.pifにしてユーザーを油断させることが,ウイルスの常套手段の一つになっている(関連記事:拡張子が「.pif」などの添付ファイルはフィルタリングすべき)。この手口に対抗するため,Microsoftでは,文中に「.pif」を含むメッセージをブロックしているという。

 しかしながらKasperskyによれば,Microsoftの対策は,大文字と小文字を区別している(ケース・センシティブである)という。「.pif」を含むメッセージはブロックするものの,「.PIF」や「.Pif」,「.pIf」を含む場合にはブロックしない。今回の場合,ダウンローダの拡張子が「.PIF」とされているため,ダウンローダへのリンクが含まれるウイルス・メッセージをブロックしない。

 Kasperskyでは,このことをMicrosoftに通知済み。同社に対して適切なアクションを期待するとともに,改善されるまでは十分注意するようにユーザーや管理者に対して呼びかけている。

ロシアKaspersky Labの情報