セキュリティベンダー各社は2007年10月30日、悪質なWebサイトに誘導する迷惑メールが出回っているとして注意を呼びかけた。実際、日経パソコン編集部にも送られてきている。同サイトでは、ハロウィンにちなんだゲームプログラムに見せかけて、ウイルスをインストールさせようとする。脆弱(ぜいじゃく)性のあるパソコンでは、同サイトにアクセスしただけでウイルスに感染する恐れもある。
編集部に送られてきたメールの件名は、「The most amazing dancing skeleton(とても不思議な踊るガイコツ)」。本文には、「Oh man this thing is cool. Try it.」という英文と、悪質サイトのURL(IPアドレス)が記述されている(図1)。
英ソフォスによれば、「Happy Halloween」「Dancing Bones」「Show this to the kids」「Send this to your friends」「Man this rocks」といった件名のメールも確認されているという。米ウェブセンスでは、件名が「Nothing is funnier this Halloween」で、本文に「Come watch the little skeleton dance.」という英文とURLが記述されたメールを例として挙げている。
メールに書かれたURLにアクセスすると、ハロウィンを連想させるようなWebページが表示され、「Dancing Skelton(踊るガイコツ)」というゲームをダウンロードするよう促す(図2)。「Dancing Skelton」と書かれた部分からリンクが張られているプログラム「halloween.exe」がウイルスの実体。ダウンロードして実行すると、パソコンを乗っ取られてしまう。
また、このWebページにはWindowsなどの脆弱性を悪用する仕掛けが施されている。このため脆弱性が存在するパソコンでは、このページにアクセスするだけで、この「halloween.exe」などを勝手にインストールされてしまうという。
ベンダー各社の情報によれば、今回の「halloween.exe」をインストールさせるWebサイトのデザインは複数確認されている模様。例えば、文字だけのサイト(図3)もあれば、踊るガイコツの画像などが掲載されているサイト(図4)もある。
今回の悪質サイトで配布されているのは、「Storm Worm(ストームワーム)」や「Nuwar(ヌーウォー)」などと呼ばれるウイルスの亜種の一つ。悪質サイトへ誘導する迷惑メールは、同ウイルスに感染したパソコンが送信している。また、誘導先である悪質サイトも、同ウイルスに感染したパソコン上に設置されている。
Storm Wormは、さまざまな手口でウイルスを感染させようとする。今回は「踊るガイコツ」を“えさ”にしたが、以前には、ファイル共有ソフトや子猫のグリーティングカード、ゲームなどに見せかける手口が確認されている。
