コンピュータ・ウイルスの届け出先機関である情報処理振興事業協会セキュリティセンター(IPA/ISEC)は9月22日,メールやファイル共有,IRC(インターネット・リレー・チャット)などで感染を広げる「Swen」ウイルスを警告した(関連記事)。Swenは,Internet Explorer(IE)などの修正パッチを装って,メールで送られてくる場合がある。マイクロソフトがパッチなどをメールで配布することはないので,だまされないように注意したい。
マイクロソフトからのパッチや情報に見せかけるウイルスは後を絶たない。例えば,2003年5月に出現した「Palyh」ウイルスは,送信者名が「support@microsoft.com」のメールに添付されて送られてくる(関連記事)。
 |
| 写真●Swenを添付したメールの一例 |
Swenは,「Patch.exe」などのファイル名で,IEなどのパッチの案内に見せかけたメールに添付されて送られてくる場合がある(写真)。メール本文には,テキストおよびHTMLの両方で記述されたパッチの案内が含まれている。HTMLメールに対応したメール・ソフトで受信した場合には,写真のように表示される。メールの送信者名は「Microsoft Internet Security Center」などと表示される。添付されたSwenファイルをパッチだと思って実行すると,Swenに感染してしまう。
ただし,上記以外のメールに添付されて送られてくる場合もある。メール・サーバー「qmail 」からの送信エラー通知メールに見せかけたメールに添付されてくる場合もある。さまざまなパターンがあるために,IPA/ISECやアンチウイルス・ベンダーでは,Swenが添付されるメールの件名や本文,送信者名は「不定」としている。
IEに「MS01-020」のセキュリティ・ホールがある場合には,OutlookではSwenが添付されたメールを開いただけで,Outlook ExpressではプレビューしただけでSwenが実行される。
Swenが実行されると,パソコン内のWindowsアドレス帳(.wab)などから収集したメール・アドレスあてに,Swen自身を添付したメールを勝手に送信する。ファイル共有やIRC,ファイル交換ソフト「KaZaA」などを使った感染拡大も試みる。
動作中のウイルス対策ソフトやパーソナル・ファイアウオール・ソフトのプロセスを停止させようともする。ただし,最新のウイルス定義ファイルを用いたウイルス対策ソフトを使用していれば,プロセスを停止される前に,Swenを検出可能なので問題はない。
◎参考資料
◆「W32/Swen」ウイルスに関する情報(IPA/ISEC)
◆Swen に関する情報(マイクロソフト)
◆ソフトウェアの配布に関するマイクロソフトの方針(マイクロソフト)
◆W32.Swen.A@mm(シマンテック)
◆WORM_SWEN.A(トレンドマイクロ)
(勝村 幸博=IT Pro)
