セキュリティ・ベンダーが米MSのセキュリティ・アップデートを装うワーム「Swen」を警告

早坂利之

2003.09.22

　英MessageLabsとフィンランドのF-Secureが米国時間9月19日，大量の電子メールを送信する新たなワーム「W32/Swen.A-mm」について警告を発した。急激な勢いで感染を広げており，F-Secure社は危険度の評価を「レベル1（最大級）」としている。

　MessageLabs社がW32/Gibe.E-mmを最初に検出したのはニューヨーク時間9月14日午後2時30分。同9月19日午前9時の時点で，84カ国で3万5000以上のコピーを検出しているという。

　W32/Swen.A-mmは，米Microsoftのセキュリティ・アップデートを装う電子メールで送りつけられる。発症すると，アップデートのインストールにみせかけたウインドウが現れる。ワームは，ハード・ディスク装置内に格納されている電子メール・アドレスを探し出し，自身のコピーをそのアドレスに送りつける。そのほか，ピア・ツー・ピア・ネットワーク「Kazaa」やIRC経由で自身のコピーを送信したり，LAN上の共有フォルダに自身のコピーを作成するなど，複数の手法で感染を拡大する。また，アンチウイルス・ソフトウエアを無効にしようと試みる。

　MessageLabs社によると，W32/Swen.A-mmは当初，「Gibe」ウイルスの亜種とみられたが，記述法などが異なることから新種と判断。同ワームの当初のコピーはスロバキアから発生しており，その後，一部がオランダから発生しているという。

　送信メッセージを構成するSMTPエンジンを内蔵し，電子メールのフォーマットや件名はさまざまに変化するが，ファイル・サイズは一定して106,496バイトである。

　添付ファイル名は，次の文字列を含む場合がある。「Install.exe」「Patch.exe」「Update.exe」「upgrade.exe」「q433137.exe」「q478121.exe」「q489667.exe」「Q653143.exe」「Q734269.exe」「q762531.exe」「Q818418.exe」「Q944661.exe」「q963681.exe」