フィンランドのF-Secureは,電子メールで感染を広げる「Sober」ワームの亜種「Sober.Y」を解析し,攻撃用ファイルのダウンロード時にアクセスするURLを特定した。F-Secure社が現地時間12月8日に明らかにしたもの。それによると,Sober.Yは日付をもとにURLを生成し,これを14日ごとに変更する(関連記事その1その2)。

 Soberの亜種が最初に見つかったのは2003年10月で,同社はそれ以降20種類以上の亜種を確認した。亜種のほとんどは特定の日付に動作を開始し,複数のWebサイトからファイルをダウンロードして実行する処理を定期的に繰り返す。なかでもSober.Yは「2005年に最も猛威を振るった亜種」(同社)で,いまだにSober全体の約40%を占めているという。

 同社は「Sober.Yが2006年1月5日に活動を始めるようプログラミングされている」と警告した。複数の原子時計と同期して機能するので,感染したパソコンの時計が不正確でも指定日以前に動き出すことはないという。Sober.Yもほかの亜種と同じく,動作を開始するとWebサイトからファイルを取得し,その実行を試みる。

 ダウンロード時にアクセスするWebサイトのURLは固定されておらず,日付からSober.Yが生成する。そうしたURLは,ドイツとオーストリアでホスティングされているサーバーを指しているものが多い。ただし,現在のところ生成されたURLの99%は実在していない。Sober.Yの作者は生成されるURLを自分でもあらかじめ作れるので,実際に攻撃をするタイミングに合わせてURLの登録と攻撃用ファイルのアップロードを行う。

 同社はSober.YのURL生成アルゴリズム解析に成功し,2006年1月5日にSober.Yがアクセスを試みるURLを特定した。URLの一覧は以下の通り。現時点で実際に存在しているURLはない。同社は「ファイアウオールでアクセス阻止するにはこの一覧のアドレスで十分」として,突き止めたURLから実行ファイルのファイル名を取り除いて発表した。

・http://people.freenet.de/gixcihnm/
・http://people.freenet.de/tobtrfjabzw/
・http://people.freenet.de/utzmfucaau/
・http://people.freenet.de/phyibrpkcpl/
・http://people.freenet.de/lhxrdryo/
・http://people.freenet.de/yediykdq/
・http://people.freenet.de/bjjhdkybpyaj/
・http://scifi.pages.at/agzytvfbybn/
・http://home.pages.at/bdalczxpctcb/
・http://free.pages.at/ftvuefbumebug/
・http://home.arcor.de/ijdsqkkxuwp/
・http://home.arcor.de/ldhdytdu/
・http://home.arcor.de/wdqodvdhwwese/
・http://home.arcor.de/frweemrecuvw/
・http://home.arcor.de/nulmjznomnt/

 Sober.Yは14日ごとにURLを変更するので,2006年1月6日以降は以下のURLを使う。

・http://people.freenet.de/mookflolfctm/
・http://people.freenet.de/aohobygi/
・http://people.freenet.de/wlpgskmv/
・http://people.freenet.de/svclxatmlhavj/
・http://people.freenet.de/jpjpoptwql/
・http://people.freenet.de/iohgdhkzfhdzo/
・http://people.freenet.de/eetbuviaebe/
・http://scifi.pages.at/vvvjkhmbgnbbw/
・http://home.pages.at/twfofrfzlugq/
・http://free.pages.at/sfhfksjzsfu/
・http://home.arcor.de/qlqqlbojvii/
・http://home.arcor.de/fulmxct/
・http://home.arcor.de/fowclxccdxn/
・http://home.arcor.de/lnzzlnbk/
・http://home.arcor.de/rprpgbnrppb/

 なお同社は2005年5月の時点でURL生成アルゴリズムの仕組みを把握し,ドイツの地元警察や影響のあるインターネット・サービス・プロバイダ(ISP)に情報を伝えていた(関連記事)。

 また同社は,「Sober.Q」などこれまでに登場した複数のSober亜種はネオナチに賛同するメッセージを送信することと,米VeriSign傘下のiDefense社から「Sober.Yの活動開始日がナチス党結成記念日である1月5日と一致する」との情報を得たことを発表のなかで指摘している。

◎関連記事
「ウイルス『Sober.Y』は1月5日に動き出す」---F-Secure
Soberワームの次の攻撃は2006年1月5日,ナチス党結成87周年に照準か
「2005年の新種ウイルスは48%増加,ワースト1は『Zafi-D』」,英Sophosの調査
「Sober」ウイルスの亜種が大量出現,対策ソフトで検出できない場合も
FBIなどからの警告を装うワーム「Sober@MM!M681」が出現
Soberワームの亜種「Sober.S@mm」と「W32.Sober.T@mm」を米Symantecが警告
ドイツの警察が「Sober」ウイルスを事前に警告,予告どおりに出現
「Sober.N(Sober.P)」感染PCを踏み台にする「Sober.Q」,米MX Logicが警告

[発表資料へ]