米FaceTime Communicationsが,米America Online(AOL)のインスタント・メッセージング(IM)サービス「AOL Instant Messenger(AIM)」を介して感染するワーム「W32/Sdbot-ADD」について,米国時間10月28日に警告を発した。感染するとパソコンにルートキット「lockx.exe」をインストールし,外部からパソコンを操作できる状態にしたり,個人情報を外部に送信したりする。
このワームは,AIMユーザーのBuddy List(アドレス帳)に掲載されたほかのAIMユーザーに感染を試みる。AOLのチャット・ルーム経由でも感染する。「すべてのAIMユーザーに感染のおそれがある」(FaceTime社)
パソコンに感染すると,ルートキットとして機能する実行ファイルlockx.exeをインストールする。lockx.exeはあるIRCサーバーに接続し,攻撃者からコマンドが送られてくるのを待つ。
lockx.exeには,データのダウンロードおよびアップロード,パソコンの監視といった機能のほか,アンチ・ウイルス・ソフトウエアの動作を止めたり,バックドアを仕掛けたりする機能がある。「180Solutions」「Zango」「Freepod Toolbar」「MaxSearch」「Media Gateway」「SearchMiracle」といったアドウエアやマルウエアをダウンロードし,検索ページをhttp://www.eza1netsearch.com/sp2.phpに変更してしまう。
米メディアの報道(internetnews.com)によると,AIMで「HILARIOUS!!!」(面白いよ)や「See thing!!!」(見て)といったメッセージをクリックすると同ワームに感染するという。
◎関連記事
■米FaceTime,IMとIRCで広まる偽のGoogleツールバーを警告
■「2005年の世界IM市場は3億1500万ドル規模,2009年には2倍以上に拡大」,米調査
■「職場における従業員の私的なIM利用は平均1時間」,米調査より
■米IMlogic,IMネットワークを狙うワーム「Tixanbot」と「Guapim」について警告
■AIMを狙ったワーム「OPANKI」,「iTunes Music Store」のファイルを装う
■管理者権限とルートキットの危険な関係
■なぜWindowsは危険なルートキットを阻止できないか?
■「IMのセキュリティ脅威,2005年は毎月50%のペースで増加中」,米調査
[発表資料へ]
