大量の電子メールを送信する新たなワーム「W32.Mydoom@mm」(あるいは「Mydoom」「Novarg」)が急速に感染を広げている。米Symantecは米国時間1月26日,同ワームの危険度を「3」から「4」に引き上げた。また米Central Command,スペインのPanda Software,英MessageLabsなどのアンチウイルス・ベンダー各社が,同ワームの拡大状況について1月27日に報告した。
Symantec社は,最初の9時間で960件以上の被害報告を受け取っており,その感染速度は「2003年8月13日に登場した『Sobig.F』の発見当初とほぼ同様」だという。
Mydoomは「hello」「Mail Transaction Failed」「Test」など,ランダムな件名の電子メールで送りつけられる。添付ファイルには「.cmd」「.exe」「.scr.」「.zip」「.pif」「.bat」「.cmd」のいずれかの拡張子が付く。添付ファイルを実行すると,ワームはシステム・フォルダに「taskmon.exe」の名称で自身の複製を作成する。さらに,3127~3198のTCPポートを聴取し,攻撃者からの追加ファイルを待つ。2004年2月1~12日に米SCO GroupのWebサイト「www.sco.com」にDDoS攻撃を仕掛けるよう,感染したコンピュータを設定しようとする。
なお,ワームは「.htm」「.sht.」「.php」「.asp」「.dbx」「.tbb」「.adb.」「.pl」「.wab」「.txt」の拡張子の付いたファイルに保存されている電子メール・アドレスを収集する。
Central Command社は,「9通の電子メールのうち1通がMydoomに感染している」と説明。「非常に攻撃的な性質を持つこのワームは,最初に検出されてから24時間もかけずに,世界の電子メール・インフラがいまだにこうした攻撃に弱いことを実証してみせた」(Central Command社Products and Services部門バイス・プレジデントのSteven Sundermeier氏)
「今後数時間,Mydoomが増え続けば,コンピュータ史上最大の感染となる」(Panda Software社)
MessageLabs社は最初の24時間でMydoomのコピーを120万以上遮断したという。「ピーク時は電子メール12通のうち1通が感染メールだった。Sobig.Fの場合は,最初の24時間で100万コピーを遮断し,ピーク時は17通のうち1通が感染メールだった」(MessageLabs社)
また,MydoomによるDDoS攻撃のターゲットとされているSCO Group社は,Mydoom作成者に関する情報の提供者に,最大で総額25万ドルを支払う意向を,1月27日に発表した。
◎関連記事
■2003年のウイルス被害は「Sobig」がダントツ1位,被害件数の約20%を占める
■「スパム,ウイルス,悪意のあるコードのピークは12月」,英Clearswiftが警告
■8月のウイルス・ランキング,ワースト1はSobigの亜種「Worm/Sobig.F」
■アンチウイルス・ベンダーがSobigの5番目の亜種「Sobig.F」を警告
■Microsoftがウイルス作成の犯人捜しに報奨金
■ウイルス/ワーム作者を捕まえろ――“懸賞金500万ドル”の効き目やいかに?
■「巧妙なウイルスにだまされるな!」――IPAが警告
[発表資料(Symantec社)]
[発表資料(Central Command社)]
[発表資料(Panda Software社)]
[発表資料(MessageLabs社)]
[発表資料(SCO Group社)]
