マカフィーなどによると,米国時間11月8日以降,Internet Explorer(IE)のセキュリティ・ホールを突いて感染を広げるウイルスが出現しているという。メール本文中のリンクをクリックすると,ウイルスを勝手にダウンロードさせられて実行させられる。米Microsoftは修正パッチを公開していないので,「信頼できないWebページは閲覧しない/信頼できないリンクはクリックしない」「ウイルス対策ソフトを適切に利用する」――などが対策となる。

 今回報告されたウイルスは,11月初めに見つかったIEのセキュリティ・ホールを突いて感染を広げる(関連記事)。マカフィーでは,ウイルス名を「Mydoom.ag」および「Mydoom.ah」としている。セキュリティ組織の米SANS Instituteにも,このウイルスに関する発見報告が寄せられているという。

 いずれのウイルスも,メール本文に記したリンクを使って感染を広げる。メールにファイルは添付されていない。Mydoom.agウイルスが送信するメールの本文は,「Look at my homepage with my last webcam photos!」や「FREE ADULT VIDEO! SIGN UP NOW!」。Mydoom.ahが送信するメールには,「Congratulations! PayPal has successfully charged $175 to your credit card.」から始まる,米PayPalからのメールに思わせる文章や,「Hi! I am looking for new friends. My name is Jane, I am from Miami, FL. 」から始まる文章が記述されている。

 メール中のリンク先には,既にウイルスに感染しているマシンが指定されている。ウイルスに感染したマシンは,Webサーバーとして動作させられているのである。デフォルト・ブラウザ(メール中のリンクをクリックしたときに起動するブラウザ)をIEにしていて,なおかつWindows XP SP2以外の環境では,メール中のリンクをクリックすると,ウイルス感染マシンに置かれた,セキュリティ・ホールを突くようなWebページをIEに読み込まされて,ウイルス本体を勝手にダウンロードおよび実行させられる。

 実行されたウイルスは,そのマシンから収集したメール・アドレスへ向けて,上述のような内容のメールを多数送信する。同時に,ウイルスの一部であるWebサーバー・プログラムをそのマシン上で起動して,メール受信者からのアクセスを待ち受ける。

◎参考資料
W32/Mydoom.ag@MM(マカフィー)
W32/Mydoom.ah@MM(マカフィー)
New MyDoom Variant uses unpatched exploit, Phishing tip, AV False Positive, Virus Naming(米SANS Institute)

(勝村 幸博=IT Pro)