件名が「photos」のメールに注意，新種ウイルスが流行中

勝村幸博

2004.08.16

　件名が「photos」のメールで感染を広げるコンピュータ・ウイルスが8月16日，国内で流行し始めている。現時点（8月16日午後5時）ではセキュリティ組織などから警告は出されていないが，ユーザーからIT Pro編集部に発見および被害報告が複数寄せられている。現時点では，ウイルス対策ソフトを使っていても検出されない場合がある。メールの送信者がたとえ知人であっても，添付されている実行形式ファイルを決して開いてはいけない。

　トレンドマイクロでは「RATOS」と名付けているこのウイルスは，メールで感染を広げる。ウイルスが添付されたメールの件名は「photos」，本文は「LOL!;))))」，添付ファイル（ウイルス・ファイル）名は「photos_arc.exe」である。

【8月16日追記】今回のウイルスを，シマンテックでは「Mydoom.Q」，マカフィーでは「Mydoom.s」としている。また，警察庁は8月16日夜，今回のウイルスがまん延していることを警告した。【以上，8月16日追記】

　添付ファイルを実行すると，Windowsアドレス帳（.wab）から収集したメール・アドレスに向けて，ウイルスを添付したメールを送信する。ウイルス添付メールの送信先アドレスはWindowsアドレス帳から選ばれ，なおかつ，ウイルス添付メールの送信者名を偽装しないので，ウイルス添付メールの送信者名は知人である可能性が高い。

【8月17日追記／訂正】当初，一部のアンチウイルス・ベンダーから「今回のウイルスは送信名を偽装しない」との情報が出されたため，上記のように記述したが，実際には送信者名を偽装する。送信者名に記載されたユーザー（組織）あるいはアドレスからウイルス・メールが送られたとは限らないので注意が必要。送信者名あてに苦情や警告のメールを出しても無意味なので控えたい。【以上，8月17日追記／訂正】

　加えて，添付ファイルが実行されると，Windowsの起動時にウイルスが実行されるようにレジストリを書き換える。さらに，特定のWebサイトにアクセスして，実行形式のファイルをダウンロードする。Webサイトに置かれたファイル名の拡張子は「.jpg」や「.gif」であるが，実体は実行形式ファイル。ダウンロードされたファイルは，Windowsフォルダに「WINVPN32.EXE」で保存される。

【8月16日追記】アンチウイルス・ベンダー各社の情報によると，特定のWebサイトからダウンロードされるファイルは，バックドア・プログラムであるという。WINVPN32.EXEとしてパソコンに保存された後，勝手に実行される。【以上，8月16日追記】

　セキュリティ・ホールを突く“機能”などはないので，添付されたウイルス・ファイルを実行しない限り，ウイルスが動き出すことはない。メールの送信者名がたとえ知人であっても，添付ファイルを安易に開いてはいけない。また，ウイルス対策ソフトへの過信も禁物。今回のように，出現したばかりのウイルスは，ウイルス対策ソフトを使っていても検出できない。

　ウイルスの可能性がある添付ファイルは，ゲートウエイやメール・サーバーでフィルタリングすることも考慮したい。「exe」に限らず，「pif」「scr」「bat」「com」「cmd」――といった拡張子を持つ添付ファイルは，ウイルスである可能性がある（関連記事）。