警察庁や米US-CERTなどは7月27日,「Mydoom」ウイルスの変種(Mydoom.MあるいはMydoom.o)がまん延していることを警告した。メールの添付ファイルとして送られてくるMydoomを実行すると,パソコン内のファイルや検索サイトから収集したメール・アドレスに,ウイルス添付メールを送信する。加えて,TCP 1034番ポートで接続を待つバックドアを開く。ほとんどのウイルス対策ソフトは対応済みなので,最新のウイルス定義ファイルを使っていれば検出できる。とはいえ,今後も新たな変種は次々と出現する。少しでも怪しい添付ファイルは決して開いてはいけない。
今回警告されたMydoomの変種は,ほかのMydoomやNetskyウイルスなどと同様に,ユーザーをだまして添付ファイルを実行させようとする。具体的には,メールの件名を「Mail System Error - Returned Mail」や「Returned mail: see transcript for details」などとして,メール・サーバーからのエラー・メールに見せかける場合が多い。編集部に送られてきたMydoom添付メールの件名は「Returned mail: Data format error」だった(写真)。
本文も同様に,「あなたのメールは届きませんでした」といった内容が英語で書かれている。メール・サーバーからのエラー・メールは英語で書かれている場合が多いため,非英語圏のユーザーでも,油断して添付ファイルを開いてしまう可能性が高い。なお,添付ファイル(ウイルス本体)の拡張子は,「cmd」「bat」「com」「exe」「pif」「scr」「zip」――のいずれかである。
メールで感染を広げるほかのウイルス同様,送信先および送信元のアドレスには,感染したパソコンのファイルから収集したアドレスを使う。加えてMydoomの変種では,GoogleやYahoo!などの検索サイトから収集したアドレスも使う。公開Webサーバーの統計調査などを実施している英Netcraftの情報によると,Mydoomの変種のアクセスによって,Googleなどにパフォーマンスの問題が発生したという。
今回のMydoomの変種に限らず,新たに出現したばかりの変種は,たとえウイルス対策ソフトを使っていても,検出できない場合がある。対策ソフトの利用は不可欠だが,決して過信してはいけない。対策ソフトが警告を出さなくても,安心だと確信できる添付ファイル以外は開いてはいけない。
◎参考資料
◆Mydoomウイルスの蔓延について(警察庁)
◆W32/MyDoom Revisited(US-CERT)
◆W32.Mydoom.M@mm(シマンテック)
◆WORM_MYDOOM.M(トレンドマイクロ)
◆W32/Mydoom.o@MM(マカフィー)
◆MyDoom Spread Illustrates Challenge for Phishing Defense(英Netcraft)
(勝村 幸博=IT Pro)
