写真に擬装した.pifファイル

Skypeソフトウエアの出す外部プログラムからのアクセス要求警告
[画像のクリックで拡大表示]

MSN Messengerで送信される感染メッセージ
[画像のクリックで拡大表示]

 IP電話ソフトウエア「Skype」に感染するワームで,MSN MessengerやICQといったインスタント・メッセージング(IM)ソフトウエアを感染拡大に利用するものが見つかった。米FaceTime CommunicationsのFaceTime Security Labsでマルウエア研究担当ディレクタを務め,Microsoft Security MVPでもあるChristopher Boyd氏(ハンドルは「Paperghost」)が米国時間5月23日に,自身のブログVitalsecurity.orgへの投稿で明らかにしたもの。

 またBoyd氏がFaceTime Security Labsのブログに投稿した情報によると,発見したワームは数カ月前から広まっているSkypeワームや「Stration」と呼ばれるワーム同様,試行錯誤的な手法を使って感染拡大を試みるという(関連記事その1その2)。

 このワームは,まず写真データに擬装した拡張子.pifのファイルをユーザー送る。このファイルをクリックするとあるWebサイトにアクセスし,WindowsのSystem32およびWindowsフォルダにさまざまなファイルがダウンロードされる。

 続いてSkypeソフトウエアは外部プログラムからのアクセス要求を警告するが,ユーザーがアクセスを受け入れると,さらに怪しいファイルのダウンロードが行われる。

 こうしたファイルの1つがパソコン内を調べ,MSN MessengerやICQのほか,AOL Instant Messenger(AIM)やTrillian,Yahoo! Messenger,MirandaといったIMソフトウエアを探す。IMソフトウエアを見つけると,ほかのユーザーに感染メッセージを送る。ただし現在のところ,感染メッセージの送信はMSN MessengerとICQでしか実行していない。

 Boyd氏が調べたところ,ファイル・ダウンロード用ホストのドメインは主にバイアグラを扱っているスパム関連サイトで,全体的な動作がこれまでに出回ったSkypeワームと酷似しているという。「これら一連のセキュリティ攻撃の背後には,同じ人物がいるのだろう」(Boyd氏)。

 米メディア(InfoWorld)によると,このワームがダウンロードする悪質なコードのホスティング・ドメインは,中国のインターネット企業を通じて登録されているという。

[Boyd氏の投稿(その1)]
[Boyd氏の投稿(その2)]