セキュリティベンダー各社は2007年8月21日、ウイルスが置かれたWebサイトに誘導する悪質なメールが出回っているとして注意を呼びかけた。ぜい弱性(セキュリティホール)が存在するパソコンでは、メール中のリンクをクリックしただけで、ウイルスをインストールされる恐れがある。
注意を呼びかけているのは、米シマンテックや米マカフィー、米ウェブセンス、フィンランドのエフセキャアといったセキュリティベンダーと、米US-CERTや米SANS Instituteなどのセキュリティ組織。
出回っているメールは、英語で記述されている。出会い系サイトやアダルトコンテンツ提供サイト、ギャンブルサイトなどをかたったメールには、メールの受信者が会員登録されたとして、ユーザーIDやパスワードなどが記載されている。そして、それらは一時的なID/パスワードなので、メール中にリンクが書かれたWebサイトにアクセスして変更するよう促している。図1は、日経パソコン編集部に送られたきたメールの一例。
リンク先のサイトにアクセスすると、「『Secure Login Window』が表示されない場合には、『Secure Login Applet』をインストールしてください」といった英文が記述されている(図2)。この文の「Secure Login Applet」部分には、「applet.exe」という実行形式ファイルへのリンクが張られている。このapplet.exeがウイルスの実体。ファイルサイズは114KB程度。指示通りにダウンロードしてインストールすると感染し、パソコンを乗っ取られるなどの被害に遭う。
しかも、このサイトにはWindows Media Playerのぜい弱性を悪用する仕掛けが施されている。このため、修正パッチ(セキュリティ更新プログラム)を適用していないパソコンでは、サイトにアクセスするだけでapplet.exeを勝手にインストールされてしまう。なお、悪用されるぜい弱性に対する修正パッチは2006年2月に公開されているので、Microsoft Updateなどを実施していれば解消されている。
ウイルス対策ソフトのいくつかは、今回のウイルスに対応済み。applet.exeをダウンロードすると、警告を発して削除する。しかしながら、SANS Instituteに寄せられた情報では、ウイルスサイトに置かれているウイルスは、30分ごとに改変されているという。対策ソフトを回避するためだ。このため、対策ソフトを使っていても検出できない可能性がある。セキュリティベンダー各社では、覚えのないメールに書かれたリンクは決してクリックしないよう、改めて注意を呼びかけている。
