アンチウイルス・ベンダー各社が,「Zafi」ワームの亜種「W32/Zafi.d@MM(Zafi.d)」の出現について米国時間12月14日に警告を発した。
米McAfeeのウイルス対策技術研究機関であるMcAfee Anti-Virus Emergency Response Team(AVERT)は,Zafi.dの危険度評価を「中」とした。欧州で同日初めて検出されたのに続き,ドイツ,イタリア,スペインを中心に企業/家庭ユーザーのあいだで感染が広がっているという。
またスペインのPanda Softwareは,18カ国以上から感染の報告を受けた。「同ワームは,クリスマス・カードのようなメッセージが書かれた電子メールを介して感染を試みる。間もなくクリスマスということもあり,(クリスマス・カードを偽装する)ソーシャル・エンジニアリング手法が感染拡大につながってしまった」(Panda Software社)
Zafi.dは,大量メール送信型のワーム。自身のSMTPエンジンを使用してメッセージを送信する。差出人のアドレスは偽装する。さらに,ローカル・システム上のフォルダ(フォルダ名に「share」「upload」「music」を含む)に自身をコピーして,PtoP経由で感染を試みる。
実行されると無作為な名前にそれぞれexeおよびdll拡張子を持つファイルを「%windir%\system32」フォルダに作成して自身をコピーする。レジストリ・キーを追加することで,システム起動のたびにファイルが実行されるように仕組む。Cドライブを検索して「share」「upload」「music」といった文字列を含むフォルダに自身を「winamp 5.7 new!.exe」または「ICQ 2005a new!.exe」としてコピーする。
アンチ・ウイルス/ファイアウオール・ソフトウエアがあるフォルダを検索して,見つけるとその実行ファイルを自身で上書きする。ユーザーが手作業で感染マシン特定やワーム削除することを妨害するため,これらプロセスの終了を試みる。
電子メールを送信するメール・アドレスは,以下の拡張子を持つファイルから探す。収集したメール・アドレスは,無作為な名前とdll拡張子を使って「system32」フォルダに格納する。
「htm」「wab」「txt」「dbx」「tbb」「asp」「php」「sht」「adb」「mbx」「eml」「pmr」「fpt」「inb」
同ワームが送信する電子メールの特徴は以下の通り。
・From(発信者):
偽装アドレス
・Subject(件名):
さまざまな文章を使う
・Body(本文):
クリスマス・カードで使う文章を,送信メール・アドレスのトップ・レベル・ドメイン(TLD)に応じた言語で記述する。たとえば,comドメインの場合は英語を,deドメインの場合はドイツ語となる。これまでにPanda Software社は,スペイン語,ドイツ語,ハンガリー語,フィンランド語,ロシア語,イタリア語,ポーランド語,デンマーク語,ノルウェー語,フランス語,スウェーデン語のメッセージを検出した。
◎関連記事
■「6月のウイルス被害,Zafiが3割を占めワースト1に」,英調査
■米Network Associates,Zafiワームの新たな亜種「W32/Zafi.b@MM」を警告
■2004年のウイルス被害ワースト1は『Netsky-P』,Netsky亜種が全体の41.6%」,英調査
■「ウイルスは,忘れたころに“アウトブレーク”」――トレンドマイクロの上級コンサルタント
■「2004年9月のウイルス/スパム被害状況,スパムの占める割合は75%」,米調査
■「2004年前半のウイルス被害ワースト1は『Sasser』」,英Sophosの調査
■「セキュリティ最大の課題は,ユーザーの認識の低さ」,米Evans Data調査
■猛威を振るう「Mydoom」ウイルス,その“手口”を解説する
[発表資料(McAfee社)]
[発表資料(Panda Software社)]
