フィンランドのF-SecureとスペインのPanda Softwareは米国時間2月9日に,新たなワーム「Doomjuice」について警告を発した。大量の電子メールを送信するワーム「Mydoom.A」に感染しているWindowsマシンを標的にするが,電子メール経由では拡散しない。
Doomjuiceは,Mydoom.Aが作成したバックドアを利用する。インターネット・アドレスをランダムにスキャンし,バックドアが開いているマシンを探す。標的となるマシンを見つけると,自身を送りつける。
感染すると,以下のレジストリ・エントリを追加する。
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run "Gremlin" intrenat.exe
Systemディレクトリに自身の複製「intrenat.exe」(36,864バイト)を作成し,「sync-src-1.00.tbz」ファイル(28,569バイト)をWindowsディレクトリ,Tempディレクトリ,System ディレクトリおよびC:ドライブに植え付ける。sync-src-1.00.tbzファイルにはMydoom.Aのソース・コードが含まれている。
このことから,Panda Software社とF-Secure社は「DoomjuiceとMydoomには同じ作成者が関わっている」と推測する。「警察当局はMydoom.A作成者を捜索している。オリジナルのソース・コードを持っていれば,それが作成者の証拠になる。しかし(Doomjuiceにより)今や数万人のユーザーが,気づかないうちに,ソース・コードをマシンのハード・ディスクの中に保持している。それが,Doomjuiceを放った理由だ」(F-Secure社Anti-Virus Research部門ディレクタのMikko Hypponen氏)
Doomjuiceは,2月8日以降,米MicrosoftのWebサイト「www.microsoft.com」に対するDDoS攻撃を仕掛けるようプログラムされており,攻撃終了期限は設定されていない。F-Secure社によると,すでに世界規模で,同サイトへの攻撃が始まっているという。同サイトは,2月9日の早い時間帯にサービス停止に陥ったが,その後回復している。
◎関連記事
■米SCOが「MyDoom」ワームによるDDoS攻撃を受けたと発表
■「『MyDoom』がインターネット史上最悪の急拡大,『SoBig.F』をはるかに上回る」,米社が報告
■Mydoomの亜種「Mydoom.B」が出現,「オリジナルよりさらに危険」
■新たなワーム「Mydoom」が急速に拡大,「Sobig.Fなみの感染力」とアンチウイルス・ベンダー各社が警告
■2003年のウイルス被害は「Sobig」がダントツ1位,被害件数の約20%を占める
■ウイルス/ワーム作者を捕まえろ──“懸賞金500万ドル”の効き目やいかに?
■「マイクロソフトのサイトが一時的にアクセス不能に,Mydoom.Bの影響か?」──英社
■「1月はMydoomが猛威,巧妙化するウイルスに気をつけろ」──IPA
[発表資料(F-Secure社のプレス・リリース)]
[発表資料(Panda Software社のプレス・リリース)]
