シマンテックやトレンドマイクロなどのウイルス対策ベンダ各社は2002年10月1日,メールを使って増殖するコンピュータ・ウイルス「Bugbear」に対する警告を出した。このウイルスは,米国時間の2002年9月30日に発見された。国内でも感染例が増えている。トレンドマイクロによると「感染例は国内で11件報告されている。今のところ米国とオーストラリアでの感染例が多い」という。

 Bugbearは,感染後の動作が極めて悪質である。感染すると,パソコン上で稼働しているウイルス対策ソフトやファイアウォールを停止する。そして,パソコン内にあるOutlook ExpressやOutlookが使っているアドレス帳からメール・アドレスを収集。SMTPサーバの情報を調べて,自分自身を添付したメールをそのアドレスに送りつける。シマンテックによると「ネットワーク・ドライブにコピーを作って感染していくことも確認した」という。

 加えて,ユーザのキー操作をファイルに記録するプログラムとバックドアを仕込む。36794番のポートを開き,遠隔地からプログラムのアップロード/ダウンロードや実行,プロセスを終了できるようにする。これにより,外部からパスワードを盗むことが可能な環境を作る。

 BugbearはWindows 95以降のWindowsに感染し,発病する。添付ファイルを実行すると感染するのはもちろん,Outlook Expressなどでメールをプレビューしただけでも感染する恐れがある。この際,管理番号「MS01-020」に示されたセキュリティ・ホールを突く。これは,Outlook ExpressやOutlookでメールの本文をプレビューした際,ある特定の条件下で添付ファイルを自動実行してしまう古いセキュリティ・ホールである。

 MS01-020の対策パッチは1年以上前から提供されている。未適用のユーザはすぐに適用すべきだ。マイクロソフトもBugbearに対して注意を呼びかけている(同社のWebサイト)。

 2002年9月30日には,「Opaserv」というウイルスも発見された。Opaservはユーザが共有しているディスク・ドライブを通じて感染する。メールでは感染しない。トレンドマイクロによると「現在のところ国内で69件の感染報告がある」という。

 Opaservはパソコンを再起動した後に感染動作を始める。感染すると,ドメイン名やコンピュータ名をあるサイトに送信する。このサイトに接続して,プログラムもアップデートする。現在のところ,同サイトは稼働していないという。

(市嶋 洋平=日経バイト)