米シマンテックは2007年8月20日(現地時間)、MSNメッセンジャー(Windows Liveメッセンジャー)で感染を広げる新たなウイルス(ワーム)について警告を発した。ユーザーをだますためにウイルスのファイル名を工夫していることなどが特徴。
シマンテックでは、今回のウイルスを「W32.Scrimge.E」と命名している。このウイルスは、MSNメッセンジャーなどを使って感染を広げようとする。ウイルスが送ってくるメッセージは英語で書かれている。
メッセージのタイトルはさまざま。例えば「Did you take this picture?(あなたがこの写真を撮ったの?)」や「Is that your mom in this picture?(この写真に写っているの、あなたのママ?)」など、いずれも写真を連想させるもの。同時に、その写真の圧縮ファイルに見せかけた「img807.zip」というファイルを送信する(図1)。
この圧縮ファイルを受信して解凍すると、「img807.jpg-www.photoalbums.com」というファイルが生成される(図2)。これがウイルスの実体。実行形式ファイルの拡張子の一種である「com」を、URLの一部の「com」に見せかけることで、ユーザーをだまそうとしている。ちなみに、ファイル名に使われている「www.photoalbums.com」は実在するWebサイトで、アルバムや写真の額などを販売している。
このファイルを開こうとしてダブルクリックするとウイルスに感染。ウイルスは感染パソコンのMSNメッセンジャーを使って、前述のメッセージをメッセンジャーに登録されているユーザーすべてに送信。同時に感染パソコンを乗っ取って、攻撃者が自由に操れるようにする。具体的には、ウイルスはある特定のIRCサーバーに接続して、攻撃者からの命令を待つ。このため今回のウイルスは、ボットの一種ともいえる。
なお、ファイル拡張子「com」をURLの一部に見せかけるウイルスはこれが初めてではない。過去にいくつか確認されている。例えば、Yahoo!のURLに見せかけた「www.myparty.yahoo.com」というファイル名を付けた「Myparty」ウイルスは2002年1月に出現し、比較的大きな被害をもたらした。
