米Network Associatesのアンチウイルス研究部門Anti-Virus Emergency Response Team(AVERT)は,大量の電子メールを送信するワーム「Sober.A」の新たな亜種「W32/Sober.d@MM(Sober.D)」の危険度評価を「中」に引き上げた。Network Associates社が米国時間3月8日に発表したもの。
AVERTが最初の感染報告を受け取ったのは同日の早い時間帯。すでに100件以上の報告が寄せられており,そのほとんどは欧州,特にドイツの企業だという。同ワームは電子メールを介して繁殖し,感染すると,「W32/Sober.c@MM(Sober.C)」と同様の症状をみせる。
ワームは感染したマシンに格納されている電子メール・アドレスを収集し,「.EXE」あるいは「.ZIP」ファイルとして自身の複製を添付した電子メールを送りつける。添付ファイルの名称はランダムに変化する。メッセージ内容は,米Microsoftから送られてきた「W32/Mydoom@MM(MydoomあるいはNovarg)」ワーム用のパッチであるかのように見せかけている。
電子メールの発信者は「(ランダムな差出人)@microsoft.(ランダムな国ドメイン)」。ランダムな国ドメインには,「de」「ch」「at」「il」などが使われ,ランダムな差出人には次のいずれかの文字列が使用される。
・Info
・Center
・UpDate
・News
・Help
・Studio
・Alert
・Security
件名はドイツ語または英語で,ランダムな文字列を含み,以下の文で始まる。
・Microsoft Alarm: Bitte Lessen!
・Microsoft Alert: Please Read!
メッセージ本文(英語の場合)は以下の通り。
New MyDoom Virus Variant Detected!
A new variant of the W32. Mydoom (W32.Novarg) worm spread rapidly through
the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the
MyDoom virus.
The worm also has a backdoor Trojan capability. By default, the Trojan
component listens on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.
+++
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19 com
Network Associates社によると,Sober.Dは検出が難しく,多くのアンチウイルス・ソフトのチェックから漏れてしまうという。
◎関連記事
■2004年2月のウイルス被害状況,「Sober-C」が再びワースト1に
■猛威を振るう「Mydoom」ウイルス,その“手口”を解説する
■「『MyDoom』がインターネット史上最悪の急拡大,『SoBig.F』をはるかに上回る」,米社が報告
■「2004年,北米ISPのワーム対策コストは約2億4500万ドルに」,カナダ企業が予測
■々と亜種が登場,ワーム作成者どうしの勢力争いか?」,アンチウイルス・ベンダーが分析
■Netskyウイルスの変種が流行中,拡張子が「.pif」の添付ファイルに注意
■「1月はMydoomが猛威,巧妙化するウイルス
■ウイルスは,今年も“心のスキ”を狙い撃つ
[発表資料へ]