PR

 件名が「photos」のメールで感染を広げるコンピュータ・ウイルスが8月16日,国内で流行し始めている。現時点(8月16日午後5時)ではセキュリティ組織などから警告は出されていないが,ユーザーからIT Pro編集部に発見および被害報告が複数寄せられている。現時点では,ウイルス対策ソフトを使っていても検出されない場合がある。メールの送信者がたとえ知人であっても,添付されている実行形式ファイルを決して開いてはいけない。

 トレンドマイクロでは「RATOS」と名付けているこのウイルスは,メールで感染を広げる。ウイルスが添付されたメールの件名は「photos」,本文は「LOL!;))))」,添付ファイル(ウイルス・ファイル)名は「photos_arc.exe」である。

【8月16日追記】今回のウイルスを,シマンテックでは「Mydoom.Q」,マカフィーでは「Mydoom.s」としている。また,警察庁は8月16日夜,今回のウイルスがまん延していることを警告した【以上,8月16日追記】

 添付ファイルを実行すると,Windowsアドレス帳(.wab)から収集したメール・アドレスに向けて,ウイルスを添付したメールを送信する。ウイルス添付メールの送信先アドレスはWindowsアドレス帳から選ばれ,なおかつ,ウイルス添付メールの送信者名を偽装しないので,ウイルス添付メールの送信者名は知人である可能性が高い。

【8月17日追記/訂正】当初,一部のアンチウイルス・ベンダーから「今回のウイルスは送信名を偽装しない」との情報が出されたため,上記のように記述したが,実際には送信者名を偽装する。送信者名に記載されたユーザー(組織)あるいはアドレスからウイルス・メールが送られたとは限らないので注意が必要。送信者名あてに苦情や警告のメールを出しても無意味なので控えたい。【以上,8月17日追記/訂正】

 加えて,添付ファイルが実行されると,Windowsの起動時にウイルスが実行されるようにレジストリを書き換える。さらに,特定のWebサイトにアクセスして,実行形式のファイルをダウンロードする。Webサイトに置かれたファイル名の拡張子は「.jpg」や「.gif」であるが,実体は実行形式ファイル。ダウンロードされたファイルは,Windowsフォルダに「WINVPN32.EXE」で保存される。

【8月16日追記】アンチウイルス・ベンダー各社の情報によると,特定のWebサイトからダウンロードされるファイルは,バックドア・プログラムであるという。WINVPN32.EXEとしてパソコンに保存された後,勝手に実行される。【以上,8月16日追記】

 セキュリティ・ホールを突く“機能”などはないので,添付されたウイルス・ファイルを実行しない限り,ウイルスが動き出すことはない。メールの送信者名がたとえ知人であっても,添付ファイルを安易に開いてはいけない。また,ウイルス対策ソフトへの過信も禁物。今回のように,出現したばかりのウイルスは,ウイルス対策ソフトを使っていても検出できない。

 ウイルスの可能性がある添付ファイルは,ゲートウエイやメール・サーバーでフィルタリングすることも考慮したい。「exe」に限らず,「pif」「scr」「bat」「com」「cmd」――といった拡張子を持つ添付ファイルは,ウイルスである可能性がある(関連記事)。

◎参考資料
WORM_RATOS.A(トレンドマイクロ)

(勝村 幸博=IT Pro)