PR

 今回は「MYDOOM(マイドゥーム)」ワームを検証する。MYDOOMは自身のコピーを電子メールの添付ファイルの形で広範囲に頒布するマスメーリング型ワームだ。2004年にはMYDOOMワーム、「NETSKAY(ネットスカイ)」ワーム、「BAGLE(バグル)」ワームの3つのワームファミリーがそれぞれに敵対しながら大流行し、「ワーム戦争」と呼ばれる事態となった。歴史的に見るとマスメーリング型ワームの時代の最後となったワームの一つと言えるだろう。

 今回の検証のために使用するのは、2004年1月に最初の「マイドゥーム」ファミリーとして登場した「WORM_MYDOOM.BJ」だ。トレンドマイクロでは登場当初「WORM_MYDOOM.A」として対応していたが、その後の名称統合により現在の最新パターンファイルでは「WORM_MYDOOM.BJ」の検出名となっている。そのため、ここでも「WORM_MYDOOM.BJ」と呼ぶ。不正プログラムの検出名は学術的な分類による命名ではないため、対策方法の最適化などを理由に名称変更が行われることはよくあるのだ。

 検証環境としては、2台のコンピュータのみが接続されているスタンドアロン・ネットワークを構築し、1台のコンピュータはクライアント、もう1台はメール・サーバーとして使用する(図1)。ネットワーク上のIPアドレスは固定で、クライアントを10.10.10.10、メール・サーバーを10.10.10.80と設定した。メール・サーバーのソフトウエアとしては、フリーのサーバー・ソフトとして著名な「BlackJumboDog」をインストールした。メール・ドメイン名は「fishnet.jp」とし、11個のメール・アドレス(master、user1~user10)を作成して独立ネットワーク内でメール送信が行えるよう設定した。また、クライアント側にはマイクロソフトのSysinternals Suiteを導入し、プロセス監視用にProcessExplorer、通信監視用にTCPVIEWを使用している。

図1●今回検証した環境
図1●今回検証した環境
クライアント用PCに感染したWORM_MYDOOMがメール・サーバー用PCを使用してマスメーリング活動を観察する

 では、早速検証を行おう。まず、実際のマイドゥームのワーム・メール(eml形式)をクライアントのデスクトップ上にコピーした。ファイル名は分かりやすく、mydoom.emlとした。このファイルをダブルクリックしてオープンしてみる(図2)。

図2●マイドゥームのワーム・メールを検証環境にコピー(クライアント用PC)
図2●マイドゥームのワーム・メールを検証環境にコピー(クライアント用PC)
[画像のクリックで拡大表示]