PR
CME-24によってデータを破壊されたファイルの例(<a href="http://www.f-secure.com/weblog/archives/archive-022006.html#00000802" target=_blank>F-Secureの情報</a>から引用)
CME-24によってデータを破壊されたファイルの例(<a href="http://www.f-secure.com/weblog/archives/archive-022006.html#00000802" target=_blank>F-Secureの情報</a>から引用)
[画像のクリックで拡大表示]

 米SANS InsituteやフィンランドF-Secureなどによると,2月3日以降の毎月3日にファイルを破壊するウイルス「CME-24」は,心配されたほどの被害はもたらさなかったという。その理由としてF-Secureでは,感染パソコンの数が予想よりも少なかったことなどを挙げている。

 ウイルス(マルウエア)の“通し番号”であるCME IDが「CME-24」にアサインされた今回のウイルスは,ベンダーによって異なる名称が付けられている。具体的には,Nyxem(Nyxem.E),Blackworm,Blackmal,MyWife.D,MyWife.E,VB.bi,Kama Sutraなどと命名されている。

 メールで感染を広げるCME-24は,2月3日以降の毎月3日に感染パソコン中の文書ファイルなどを破壊するといった悪質な機能を持つ。しかも,同ウイルスが感染したパソコンの台数は,特定のWebサイトに置かれたカウンタに表示されていると伝えられ,そのカウンタは数百万の数値を表示していた。実際,同ウイルスを添付したメールが多数確認されていた。

 これらの理由から,セキュリティ・ベンダー各社は同ウイルスに関して注意を呼びかけていた(関連記事)。マイクロソフトでも1月31日に,同ウイルスを警告する「セキュリティアドバイザリ」を公開(関連記事)。加えて,同社の「Windows OneCare Live Beta」で対応したことを明らかにした。

 しかしながら実際には,当初予想されたほどの被害はもたらさなかった模様である。SANS Insituteによると,CME-24を添付したメールが多数確認されているものの,実際にファイルを破壊されたという報告は少ないという。

 F-Secureでも,被害を受けたという報告をほとんど受けていないとする。その理由として同社では,「実際に感染していたのは1万台程度で,予想よりも少なかった」ことを挙げている。

 そのほか,CME-24は2月3日(毎月3日)に感染パソコンを起動(再起動)した場合のみファイルを破壊するので,「同日には感染パソコンは起動されたまま,あるいはシャットダウンされたままで,起動されなかったため」に,被害が少なかったとみている。また,「メディアが騒いだために,多くの感染ユーザーは,2月3日以前に同ウイルスを検出・駆除した」と推測する。

 とはいえ,被害が全くなかったわけではない。F-Secureおよび米国のパートナー企業のサポートには,わずかながら被害報告が寄せられているという。また,オンライン・フォーラムやニュース・グループには,「ファイルの中身が『DATAError [47 0F 94 93 F4 K5]』という文字列に置き替わっていた」といった相談や報告が寄せられているという。

◎参考資料
Quite quiet(フィンランドF-Secure)
Nyxem: nothing happened?(フィンランドF-Secure)
It is already Feb 3rd!(米SANS Institute)