今日(1月28日)の午後から,電子メールの添付ファイルで感染を広げるウイルス(ワーム)が国内で増殖している。添付されているウイルス・ファイル名が,Yahoo!のURLに見せかけた「www.myparty.yahoo.com」であることが特徴。ウイルス・ファイルを実行してしまうと,Windowsのアドレス帳に登録されているアドレスへウイルス自身を添付したメールを送信する。ファイルを実行しなければ被害を受けることはない。

 アンチウイルス・ベンダーであるシマンテックによると,ウイルスが発見されたのは米国時間1月26日朝であるが,日本時間1月28日昼ごろから国内ユーザーからの問い合わせが増え始め,現在では60件を超えているという。

 ウイルスを添付したメールの件名は「new photos from my party!」で,本文は

Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
写真1●ウイルス・メール画面例
である。件名や本文,ウイルス・ファイル名は変化せず,一定であるという(写真1)

 このウイルスは,NimdaやBadtrans.B などとは異なり,実行しない限り発病感染することはない。しかし,実行形式ファイルの拡張子である「.com」を,URLの「.com」に見せかけて,ファイル名全体をYahoo!のURLだと思わせようとしている。「ユーザーの興味を引いて,ダブル・クリックさせることが狙いだろう」(シマンテック Symantec Security Response 林薫氏)。同氏によると,ファイル名をURLに見せかけたウイルスは過去にあまり例がないという。ただし,アイコンはDOSプログラムのものなので,注意すれば“怪しい”ファイルであることは容易に分かる。

 シマンテックの林氏によると,詳細については現在解析中であるが,ウイルスの大まかな挙動は以下の通りであるという。

 「www.myparty.yahoo.com」ファイルを実行してしまうと,同ファイル(ウイルス)は,名前を「REGCTRL.EXE」に変え,自身をCドライブのRecycled(ごみ箱)フォルダにコピーする。ただし,Explorerなどからは見えず,DOSプロンプトの「dir」コマンドなどを使わないと表示されない(写真2)

写真2●「ごみ箱(RECYCLED)」にコピーされたウイルス

 コピーされたウイルスは,Windowsのアドレス帳に記載されたメール・アドレスへウイルス添付メールを送信する。ウイルス自身がメールを送信する機能(SMTPエンジン)を持つので,どのようなメール・ソフトを使用していても,感染発病するし,メール・ソフトに送信履歴などが残ることもない。また,「www.myparty.yahoo.com」ファイルが実行されるたびにメールが送信されるので,同じユーザーから何度もウイルス・メールが送られてくる可能性がある。

 ウイルス対策ソフトの中には,このウイルスに対応していないものも現段階では存在する。対策ソフトを使用していても過信することなく,怪しいファイルは決して開いてはならない。その“常識”が守れていないユーザーが被害に遭っているのだ。

◎参考資料
WORM_MYPARTY.A(トレンドマイクロ)
W32/Myparty@MM(日本ネットワークアソシエイツ)
W32.Myparty@mm(シマンテック)
新種ウイルス「W32/Myparty」(仮称)に関する情報(IPAセキュリティセンター)

(勝村 幸博=IT Pro編集)