警察庁や米CERT/CCなどは1月27日,メールで感染を広げるウイルス「Novarg(Mydoom,MIMAIL.R)」を警告した。同ウイルスに関する報告が多数寄せられているという。メールに添付されたNovargを実行すると,Novargを添付したメールが大量に送信される。2月1日以降には,米SCO Groupのサイト(www.sco.com)へDoS(サービス妨害)攻撃も仕掛ける。添付ファイル(Novargの実体)を実行しなければ被害に遭わない。ほとんどのウイルス対策ソフトでは,最新のウイルス定義ファイルで対応済み。
同ウイルスについては,アンチウイルス・ベンダー各社も警告している。例えばシマンテックでは,「危険度レベル(5段階で,数字が大きいほうが危険)」を「4」に引き上げて注意を呼びかけている。トレンドマイクロでは「危険度」を「中」,日本ネットワークアソシエイツでは「高」に設定している(1月27日16時現在)。
Novargはメールに添付されて送られてくる。ファイル名はいくつかの候補の中からランダムに付けられる。拡張子は「pif」「scr」「exe」「cmd」「bat」のいずれかになる。拡張子が「zip」のアーカイブ・ファイルとして送られてくる場合もある。なお,Novargファイルの拡張子が「exe」あるいは「scr」の場合には,テキスト・ファイルのアイコンが表示される。
メールの件名は「hi」「hello」「test」「Mail Delivery System」「Mail Transaction Failed」「Server Report」「Status」「Error」など,メールの本文は「test」「Mail transaction failed. Partial message is available.」「The message contains Unicode characters and has been sent as a binary attachment.」「The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.」などになる。
メールに添付されたNovargを実行すると,Windowsのメモ帳(Notepad)が実行される。メモ帳の画面中にはランダムな文字列が表示される。また,Novargは自分自身をパソコンにコピーし,Windowsの起動時に実行されるようにレジストリを改変する。
その後,パソコン内のファイルからメール・アドレスを収集し,そのすべてのアドレスへ自分自身を添付したメールを送信する。収集したアドレスは,メールの送信者アドレスにも使用する。このため,Novargを添付したメールの送信者アドレスを信用してはいけない。ほとんどの場合,Novarg添付メールを送信したのは,その送信者アドレスを持つユーザーではない。
ファイル交換ソフト「KaZaA」を使って感染を広げようともする。Novargを実行したユーザーがKaZaAを利用している場合には,KaZaAの共有ディレクトリにNovargがコピーされる。
さらに,2月1日から2月12日までの間,SCO Groupのサイト(www.sco.com)へDoS攻撃を仕掛ける。具体的には,SCO Groupのサイトに対して,HTTPのGETリクエストを大量に送信する。加えて,外部からのアクセスを待ち受けるバックドア・プログラムをパソコンに仕掛ける。バックドアはTCPポート3127番などでアクセスを待ち受ける。
ユーザーが添付ファイルを開かない限り,Novargが動き出すことはない。送信者アドレスが知人のアドレスであっても,メールの内容や件名などが少しでも怪しい場合には,添付ファイルを開くべきではない。
◎参考資料
◆Novarg(Mydoom,MIMAIL.R)ウイルスの蔓延について(1/ 27) (警察庁)
◆W32/Mydoom or W32/Novarg(米CERT/CC)
◆W32.Novarg.A@mm(シマンテック)
◆「W32.Novarg.A@mm」の危険度レベルを4に引き上げて注意を喚起(シマンテック)
◆WORM_MIMAIL.R(トレンドマイクロ)
◆W32/Mydoom@MM(日本ネットワークアソシエイツ)
(勝村 幸博=IT Pro)
