「次々と亜種が登場，ワーム作成者どうしの勢力争いか？」，アンチウイルス・ベンダーが分析

2004.03.04

　米Central Commandは米国時間3月2日，「ワームを作成したグループどうしの競争が激化している」とする分析を明らかにした。大量の電子メールを送信するワーム「Bagle」の亜種「Bagle.C」が2月27日に検出されたのを皮切りに，Bagle，「Mydoom」，「Netsky」の亜種が次々と見つかっているが，ワームのコードの中には相手を嘲笑するテキストが埋め込まれていたという。

　例えば「Netsky.F」のコードからは「Skynet AntiVirus - Bagle - you are a looser!!!!」というテキストを抽出した。

　2月27日から現在までBagleの亜種は9種類（Bagle.C～Bagle.K）登場し，そのうち四つが感染を拡大した。同期間中に，Netskyの亜種は3種類（Netsky.D～Netsky.F）出現した。

　Central Command社によると，Netskyの狙いは，BagleとMyDoomワームを動作不能にすることにあるという。MyDoomのワーム作成グループは，Netskyが動作不能にできない「MyDoom.G」を作成することで対抗した。

　「同じワーム作成グループが短期間に，次々と新しい亜種を送り出し，世界中のコンピュータ・システムに感染を広げている。ワームを作成したグループ間の勢力争いが，アンチウイルス・ベンダーはもちろん，ITプロフェッショナルや企業に大きな被害をもたらしている」（Central Command社Products and Services担当副社長のSteven Sundermeier氏）

　また米Network Associatesは同日，Bagleの亜種「W32/Bagle.j@MM（Bagle.J）」について危険度評価を「中」とする報告を行った。

　Bagle.Jは，自身に組み込まれているSMTPエンジンを利用して，「.EXE」や「.PIF」拡張子の付いたファイル，あるいはパスワードで保護された「.ZIP」ファイルとして自身の複製を添付し，電子メールを送りつける。感染すると，他のBagleワームと類似した症状が現れる。またMydoomやNetskyと同様に，発信元を偽装するスプーフィングの手口を利用するため，送り主を特定できない。

　Bagle.Jはリモート接続コンポーネントも内蔵しており，TCPポート2745を開こうとする。コンピュータの日付が2004年4月25日になると活動を停止する。

　電子メールは以下のような内容で届く。

----------------------------------
発信者：（偽造アドレス）

件名：
・E-mail account security warning.
・Notify about using the e-mail account.
・Warning about your e-mail account.
・Important notify about your e-mail account.
・Email account utilization warning.
・Notify about your e-mail account utilization.
・E-mail account disabling warning.

本文：Greeting -
・Dear user of （ユーザーのドメイン名),
・Dear user of （ユーザーのドメイン名) gateway e-mail server,
・Dear user of e-mail server "（ユーザーのドメイン名) ",
・Hello user of （ユーザーのドメイン名) e-mail server,
・Dear user of "（ユーザーのドメイン名) " mailing system,
・Dear user, the management of （ユーザーのドメイン名) mailing system wants to let you know that,
----------------------------------