フィンランドのF-Secureが現地時間6月2日に,「Sobig」ワームの亜種「Sobig.C」(Win32/Sobig.C)について警告を発した。驚異的な速度で感染を広げているという。
Sobig.Cの最初の検出は5月31日の夜。6月1日にはまたたくまに広がり,現在すでに84カ国で被害報告が出されているという。
F-Secure社プロダクト・マネージャのMikael Albrecht氏は「米Microsoftのサポート・メールを装うワーム『Sobig.B』は5月31日に沈静化するようプログラムされていたが,興味深いことに,Sobig.Cはその日に初めて検出された」と述べている。また同氏によると,Sobig.Cは6月8日に沈静化する設計だが,「その日,『Sobig.D』が現れるかもしれない」(Albrecht氏)。
Sobig.Cは,Sobig.Bと同様に,電子メールの添付ファイル,あるいはWindowsのネットワーク・シェアを介して感染する。電子メールの添付ファイルはPIFまたはSCR実行ファイルで,電子メールのメッセージには,「Please see the attached file(添付ファイルをご覧ください)」と書いてある。ただしSobig.Bと異なる点は,発信者アドレスが一定ではなく,感染したユーザーのシステム内に記録しているアドレスからランダムに選び出して使用する。
「送られてきた感染メールの発信者は,既知の人物である可能性があり,その人物はワームの感染に気付いていないか,あるいは感染していないとも考えられる」(Albrecht氏)
Sobig.Cは,感染したシステム内から収集したアドレスに,感染メールを送りつける。電子メールのタイトル,添付ファイル名,ファイル容量はさまざまに変化する。
またSobig.Cは,感染システムにLAN接続しているWindowsマシンを探し出し,スタートアップ・フォルダに自身の複製を保存しようとする。しかし,ユーザーがWindowsのディレクトリを「書き込み可能」に設定しない限り,スタートアップ・フォルダに複製が作られることはない。
Sobig.Cは,発症すると,Geocities.comに開設しているいくつかのURLからコンポーネントのダウンロードを試みる。F-Secure社がGeocities.comに問い合わせたところ,問題のURLはすでに閉鎖しているという。
なお,Eset Software社の報告によると,Sobig.Cの感染メールは,仕事の要件を連想させるタイトルになっているという。例えば「Re: Application」「Re: Your application Approved」「Re: Approved」「Re: 45443-343556」「Re: Submitted (004756-3463)」「Re: Movie」「Re: Screensaver」など。また,添付ファイルは「document.pif」「application.pif」「approved.pif」「documents.pif」「45443.pif」「submitted.pif」「movie.pif」「screensaver.scr」などである。
◎関連記事
■2003年5月のウイルス被害状況,ワースト1は米MSの技術サポートを装う「Palyh」
■米Microsoftのサポートを装う「Sobig」ワーム,米アンチウイルス・ベンダーが警告
■「2003年4月のウイルス・ワースト1は『Klez』で15カ月連続のランクイン」,英Sophosの調査
■新種ウイルス「Fizzer」をIPAが警告,ただし基本的なウイルス対策で防げる
■IPAが2002年のウイルス届け出を集計,Klezが1万件弱で史上最悪
■ウイルス作者と対策ソフトのいたちごっこは終わらない
■「メール本文を開くだけで感染するウイルスに注意」――IPA
■「ウイルスに狙われるファイル共有サービス,設定を見直せ」――IPAが警告
