Soberワームの新たな亜種「Sober.D」，米MSからのMydoom用パッチを装う

早坂利之

2004.03.09

　米Network Associatesのアンチウイルス研究部門Anti-Virus Emergency Response Team（AVERT）は，大量の電子メールを送信するワーム「Sober.A」の新たな亜種「W32/Sober.d@MM（Sober.D）」の危険度評価を「中」に引き上げた。Network Associates社が米国時間3月8日に発表したもの。

　AVERTが最初の感染報告を受け取ったのは同日の早い時間帯。すでに100件以上の報告が寄せられており，そのほとんどは欧州，特にドイツの企業だという。同ワームは電子メールを介して繁殖し，感染すると，「W32/Sober.c@MM（Sober.C）」と同様の症状をみせる。

　ワームは感染したマシンに格納されている電子メール・アドレスを収集し，「.EXE」あるいは「.ZIP」ファイルとして自身の複製を添付した電子メールを送りつける。添付ファイルの名称はランダムに変化する。メッセージ内容は，米Microsoftから送られてきた「W32/Mydoom@MM（MydoomあるいはNovarg）」ワーム用のパッチであるかのように見せかけている。

　電子メールの発信者は「（ランダムな差出人）@microsoft.（ランダムな国ドメイン）」。ランダムな国ドメインには，「de」「ch」「at」「il」などが使われ，ランダムな差出人には次のいずれかの文字列が使用される。

・Info
・Center
・UpDate
・News
・Help
・Studio
・Alert
・Security

　件名はドイツ語または英語で，ランダムな文字列を含み，以下の文で始まる。

・Microsoft Alarm: Bitte Lessen!
・Microsoft Alert: Please Read!

　メッセージ本文（英語の場合）は以下の通り。

New MyDoom Virus Variant Detected!
A new variant of the W32. Mydoom (W32.Novarg) worm spread rapidly through
the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the
MyDoom virus.
The worm also has a backdoor Trojan capability. By default, the Trojan
component listens on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.
+++
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19 com

　Network Associates社によると，Sober.Dは検出が難しく，多くのアンチウイルス・ソフトのチェックから漏れてしまうという。