米Network Associatesは,「Zafi」ワームの新たな亜種「W32/Zafi.b@MM(Zafi.b)」について,危険度評価を「中」に引き上げる警告を米国時間6月14日に発した。同社ウイルス対策技術研究機関であるMcAfee AVERT(Anti-Virus Emergency Response Team)が6月11日に最初に検出報告を受け取って以来,すでに150件以上の報告が届いているという。送信される電子メールは,多数の件名と本文の組み合わせで構成されている。
Zafi.bは,大量メール送信型のワーム。自身のSMTPエンジンを使用してメッセージを作成し,差出人のアドレスを擬装する。また,ローカル・システム上のフォルダ(フォルダ名に「share」または「upload」を含む)に自身をコピーして,P2Pにより繁殖を試みる。
同ワームは,実行されると無作為な名前にEXEとDLL拡張子を持つファイルを「%windir%\system32」フォルダに作成して自身を2度コピーする。レジストリ・キーを追加するため,システムを起動するたびに感染ファイルが実行される。
また,アンチウイルスとファイアウオール・ソフトがあるディレクトリを検索して,実行ファイルを自身で上書きする。Cドライブを検索して「share」または「upload」の文字列を含むディレクトリに自身を「winamp 7.0 full_install.exe」または「Total Commander 7.0 full_install.exe」としてコピーする。
Zafi.bは,電子メール・アドレスを求めて,次の拡張子のファイルを参照する。
・htm
・wab
・txt
・dbx
・tbb
・asp
・php
・sht
・adb
・mbx
・eml
・pmr
収集された電子メール・アドレスは,無作為な名前とDLL拡張子を使って「system32」フォルダ内に格納される。
また,同ワームは,ユーザのマニュアルによる感染マシンの特定,削除を妨害するために,これらプロセスの終了を試みる。
◎関連記事
■「スパム・メールは引き続き増加,ウイルス・メールは横ばい」,英調査
■「5月は『Sasser』が猛威をふるう。新ウイルスも急増」──。英Sophosの調査
■「Netskyウイルスが依然猛威,全検出数の9割以上を占める」――IPA
■スペインPanda Software,LSASSの脆弱性を突く「Bobax」ワームの亜種を警告
■「セキュリティ・ホール発見からワーム出現までの期間が過去5年で劇的に短縮」,米企業の調査
[発表資料へ]
