米Network AssociatesとスペインのPanda Softwareは米国時間1月19日,大量の電子メールを送信する新たなワーム「W32/BAGLE@MM」(「Bagle.A」「Bagle」または「Beagle」)について警告を発した。フィンランドのF-Secureも,現地時間1月19日に同様の警告を発している。
Network Associates社による危険度の評価は「中」。Panda Software社は,「コンピュータ・ネットワークを停止させる恐れはあるが,そのほかの破壊行動はない」とみている。
Network Associates社アンチウイルス研究部門Anti-Virus Emergency Response Team(AVERT)は,同ワームを1月19日に初めて確認し,同日中に世界中の数十社の企業から報告を受けたという。
Bagleは感染したコンピュータのローカル・ディスクに保存されている「.wab」「.txt」「.htm」「.html」の拡張子が付いたファイルから電子メール・アドレスを収集し,自身に内蔵されたSMTPエンジンを使って,自身を送りつける。取得した電子メール・アドレスは「From」欄(発信者)と「To」欄(送信先)の両方に用いられるため,受信者は発信元を特定できない。
電子メールは以下のような内容で届く。
-------------------------------------------------------------
発信者:(ランダムな電子メール・アドレス)
件名:Hi
本文:
Test =)
(ランダムな文字)
--
Test, yep.
添付ファイル:(ランダムなファイル名)15,872バイト
-------------------------------------------------------------
F-Secure社によると,添付ファイルには計算機のアイコンが付いているという。
また,ワームはリモート接続の有無をTCPポート6777で確認する。さまざまなWebサイトにアクセスしたり、リモート・サイトにあるスクリプトを呼び出すなどして、コマンドを待機していることをワームの作成者に通知しようと試みる。
なお,ワームはコンピュータの日付が2004年1月28日になると,活動を停止する。F-Secure社は,この特徴が「『Sobig』と似ている」と指摘する。Sobigは,期限を過ぎると活動を停止し,そのたびに新しい亜種が登場した。
◎関連記事
■2003年のウイルス被害は「Sobig」がダントツ1位,被害件数の約20%を占める
■「スパム,ウイルス,悪意のあるコードのピークは12月」,英Clearswiftが警告
■「8月のウイルス届け出件数は今年最多,BlasterやSobigが原因」――IPA
■8月のウイルス・ランキング,ワースト1はSobigの亜種「Worm/Sobig.F」
■アンチウイルス・ベンダーがSobigの5番目の亜種「Sobig.F」を警告
■Microsoftがウイルス作成の犯人捜しに報奨金
■ウイルス/ワーム作者を捕まえろ――“懸賞金500万ドル”の効き目やいかに?
■「巧妙なウイルスにだまされるな!」――IPAが警告
[発表資料(Network Associates社)]
[発表資料(F-Secure社)]
[発表資料(Panda Software社)]
