米シマンテックや米トレンドマイクロ、米マカフィーなどは2007年4月12日および13日、新たなウイルスメールが出回っているとして注意を呼びかけた。「あなたはウイルスに感染している」と脅かして、メールに添付したウイルスをセキュリティ修正プログラム(パッチ)に見せかけて実行させようとする。ウイルスファイルをパスワード保護したり、メール本文を画像にしたりすることで、セキュリティソフトを回避しようとするのが特徴。
メールは英語で記述されている(図)。メールの件名は「Virus Alert!(ウイルス警告!)」「Virus Activity Detected!(ウイルス活動を検出!)」「Spyware Alert!(スパイウエア警告!)」「ATTN!(注意!)」――など。送信者名は「Customer Support Center」などとして、プロバイダーから送られたように見せかける。
本文には、「お客様へ。あなたのIPアドレスからのメール送信において異常を検知しました。最近流行しているウイルス(ワーム)に感染しているためだと考えられます。このメールに添付したパッチをインストールして、ウイルスを駆除して異常なメール送信を止めてください。さもないと、あなたのアカウントを停止します」といった内容が英文で書かれている。
添付されているのは、パスワード保護したZIP形式の圧縮ファイル。展開するためのパスワードはメールの本文中に記述されている。ファイル名は、「patch-[4~5桁のランダムな数字列].zip」あるいは「hotfix-[4~5桁のランダムな数字列].zip」。ファイルを展開すると、実行形式(拡張子がexe)のウイルス本体が生成される。これを実行するとウイルスに感染。感染すると、アドレス帳などに登録されているメールアドレスあてに、同じようなウイルス添付メールを送信させられる。
セキュリティベンダー各社の情報によれば、ウイルスファイルをパスワード保護した圧縮ファイルにしているのは、ウイルス対策ソフトに検出されないようにするため。通常、対策ソフトは圧縮ファイルの中身まで検査するが、パスワードがかかっていると検査できない。ただし、ZIPを展開して作られる今回のウイルスファイルには既に多くの対策ソフトが対応済み。対策ソフトを使っていれば、ZIPファイルを展開した時点で検出・駆除できる。
今回のウイルスメールのもう一つの“工夫”は、メールの本文をテキストではなく、GIF画像ファイルにしていること。HTMLメールに対応したメールソフトでは、この画像ファイルが本文として表示される(テキストのみ表示するメールソフトでは、添付ファイルの一つとして表示される)。これにより、本文の単語や文脈などからスパム(迷惑メール)やウイルスメールかどうかを判定するスパム対策ソフトのチェックをかいくぐろうとする。
