PR
「W32.Skyhoo.Worm」ワームが送りつけたSkypeメッセージ(Bkisの資料より引用)
「W32.Skyhoo.Worm」ワームが送りつけたSkypeメッセージ(Bkisの資料より引用)
[画像のクリックで拡大表示]
画像ファイルに見せかけた「.com」拡張子の実行ファイル(Bkisの資料より引用)
画像ファイルに見せかけた「.com」拡張子の実行ファイル(Bkisの資料より引用)
[画像のクリックで拡大表示]

 ネットワークセキュリティのベトナムBkisは現地時間2010年5月7日、米Yahoo!のインスタントメッセージング(IM)サービス「Yahoo! Messenger」を介して感染を広げるワーム「W32.Ymfocard.fam.Botnet」(米Symantecによる名称は「W32.Yimfoca」)の新たな亜種を検出したと発表した。Yahoo! Messengerだけでなく、ルクセンブルグSkype TechnologiesのVoIPアプリケーション「Skype」にも攻撃を仕掛ける。

 Bkisが「W32.Skyhoo.Worm」と名付けた新種のワームは、Ymfocardと同様に、友人から送信された写真のように見せかけて悪意のあるURLを含んだメッセージを送りつける。しかし手口はより巧妙で、メッセージ本文はそのつど異なる。例えば「新しい髪型、どうかな?完璧?」「この画像がうまくプリントできなくて困ってるのだけど、何が問題か分かる?」など、友だちからのメッセージだと思いこみやすい内容になっている。

 受信者がリンクをクリックすると、ストレージサービス「RapidShare」のようなWebサイトにアクセスし、「.zip」ファイルがダウンロード可能であることを画面に表示する。同ファイルは画像データのように装っているが、実際には「.com」拡張子が付いたEXEファイルで、SkypeあるいはYahoo! Messengerの連絡先リストに載っている相手に対して、悪意のあるURLを含んだ別のメッセージを自動送信する。

 またSkyhooは、IRCサーバーに接続して攻撃者からのコマンドを待ち受けるほか、アンチウイルスソフトの働きを妨げ、700以上のセキュリティまたはアンチウイルスベンダーのサイトへのアクセスを妨害する。さらに、受信者のコンピュータにYahoo! MessengerもSkypeもインストールされていない場合は自動的に消滅するなど、Ymfocardより複雑な機能を備えていると、Bkisは指摘している。

[発表資料へ]