PR

 米Central Commandは米国時間3月2日,「ワームを作成したグループどうしの競争が激化している」とする分析を明らかにした。大量の電子メールを送信するワーム「Bagle」の亜種「Bagle.C」が2月27日に検出されたのを皮切りに,Bagle,「Mydoom」,「Netsky」の亜種が次々と見つかっているが,ワームのコードの中には相手を嘲笑するテキストが埋め込まれていたという。

 例えば「Netsky.F」のコードからは「Skynet AntiVirus - Bagle - you are a looser!!!!」というテキストを抽出した。

 2月27日から現在までBagleの亜種は9種類(Bagle.C~Bagle.K)登場し,そのうち四つが感染を拡大した。同期間中に,Netskyの亜種は3種類(Netsky.D~Netsky.F)出現した。

 Central Command社によると,Netskyの狙いは,BagleとMyDoomワームを動作不能にすることにあるという。MyDoomのワーム作成グループは,Netskyが動作不能にできない「MyDoom.G」を作成することで対抗した。

 「同じワーム作成グループが短期間に,次々と新しい亜種を送り出し,世界中のコンピュータ・システムに感染を広げている。ワームを作成したグループ間の勢力争いが,アンチウイルス・ベンダーはもちろん,ITプロフェッショナルや企業に大きな被害をもたらしている」(Central Command社Products and Services担当副社長のSteven Sundermeier氏)

 また米Network Associatesは同日,Bagleの亜種「W32/Bagle.j@MM(Bagle.J)」について危険度評価を「中」とする報告を行った。

 Bagle.Jは,自身に組み込まれているSMTPエンジンを利用して,「.EXE」や「.PIF」拡張子の付いたファイル,あるいはパスワードで保護された「.ZIP」ファイルとして自身の複製を添付し,電子メールを送りつける。感染すると,他のBagleワームと類似した症状が現れる。またMydoomやNetskyと同様に,発信元を偽装するスプーフィングの手口を利用するため,送り主を特定できない。

 Bagle.Jはリモート接続コンポーネントも内蔵しており,TCPポート2745を開こうとする。コンピュータの日付が2004年4月25日になると活動を停止する。

 電子メールは以下のような内容で届く。

----------------------------------
発信者:(偽造アドレス)

件名:
・E-mail account security warning.
・Notify about using the e-mail account.
・Warning about your e-mail account.
・Important notify about your e-mail account.
・Email account utilization warning.
・Notify about your e-mail account utilization.
・E-mail account disabling warning.

本文:Greeting -
・Dear user of (ユーザーのドメイン名),
・Dear user of (ユーザーのドメイン名) gateway e-mail server,
・Dear user of e-mail server "(ユーザーのドメイン名) ",
・Hello user of (ユーザーのドメイン名) e-mail server,
・Dear user of "(ユーザーのドメイン名) " mailing system,
・Dear user, the management of (ユーザーのドメイン名) mailing system wants to let you know that,
----------------------------------

◎関連記事
感染を広げるBagleワーム,亜種「W32/Bagle.h@MM」の危険度は「中」
アンチウイルス・ベンダー各社がBagleワームの亜種「W32/Bagle.c@MM」を警告
米Network Associatesが「W32/Netsky.c@MM」を警告,危険度は「中」
「メールやファイル共有で感染を広げる『Netsky.B』に注意」――CERT/CCや警察庁
Netskyウイルスの変種が流行中,拡張子が「.pif」の添付ファイルに注意
「1月はMydoomが猛威,巧妙化するウイルス
新たなワーム「Mydoom」が急速に拡大,「Sobig.Fなみの感染力」とアンチウイルス・ベンダー各社が警告
ウイルスは,今年も“心のスキ”を狙い撃つ

[発表資料(Central Command社)]
[発表資料(Network Associates社)]