セキュリティ・プログラムの停止を試みるトロイの木馬，アンチウイルス・ベンダーが警告

早坂利之

2005.03.02

　スペインのPanda Softwareは米国時間3月1日に，大量の電子メールを送信するワーム「Bagle」とトロイの木馬「Mitglieder」の複数の亜種について警告を発した。同社が検出したのは，「Bagle.BN」「BO」「BP」「BQ」「BR」「BS」と「Mitglieder.BO」「BP」「BQ」「BR」。このうち，最も拡散しているのはBagle.BNとMitglieder.BOで，これらは互いに協力して可能な限り繁殖を広げるという。

　Mitglieder.BOは「price.zip」や「price2.zip」といった名称のファイルを添付した電子メール・メッセージのかたちでコンピュータに届く。コンピュータ・ユーザーが添付ファイルをクリックすると，Mitglieder.BOはあるWebサイトにアクセスし，Bagle.BNのダウンロードを試みる。コンピュータにインストールされたBagle.BNは，インターネット経由でダウンロードした「EML.EXE」ファイルに含まれているアドレスに，Mitglieder.BOを送りつけようとする。その際，自身のSMTPエンジンを利用する。

　またMitglieder.BOは，各種アンチウイルスおよびセキュリティ・プログラムを無効にし，Windowsの「hosts」ファイルを上書きして，特定のWebページにアクセスできないようにする。

　「昨年は，マシンを乗っ取って悪用する『ボット』が増え，今後もその傾向が続く見込みだ。しかし，今回検出した新たな亜種は，エンド・ユーザーが不明な添付ファイルを開くという動作によって繁殖している。こうした（簡単に添付ファイルをクリックするような）行動をとるユーザーは，最もコンピュータのセキュリティ保護がおろそかなタイプだ」（Panda Software社米国事業CTOのPatrick Hinojosa氏）

　そのほか，英Sophosが，新たなトロイの木馬「BagleDl-L」のセキュリティ情報を同社Webサイトに掲載した。発症すると，Webサイトからコードをダウンロードしようとする。また，各種アンチウイルスおよびセキュリティ・プログラムを停止させ，hostsファイルを書き換えて，ユーザーがアンチウイルス・ベンダーのWebサイトにアクセスできないようにする。