PR

 米Network Associatesのアンチウイルス研究部門Anti-Virus Emergency Response Team(AVERT)は,大量の電子メールを送信するワーム「Sober.A」の新たな亜種「W32/Sober.d@MM(Sober.D)」の危険度評価を「中」に引き上げた。Network Associates社が米国時間3月8日に発表したもの。

 AVERTが最初の感染報告を受け取ったのは同日の早い時間帯。すでに100件以上の報告が寄せられており,そのほとんどは欧州,特にドイツの企業だという。同ワームは電子メールを介して繁殖し,感染すると,「W32/Sober.c@MM(Sober.C)」と同様の症状をみせる。

 ワームは感染したマシンに格納されている電子メール・アドレスを収集し,「.EXE」あるいは「.ZIP」ファイルとして自身の複製を添付した電子メールを送りつける。添付ファイルの名称はランダムに変化する。メッセージ内容は,米Microsoftから送られてきた「W32/Mydoom@MM(MydoomあるいはNovarg)」ワーム用のパッチであるかのように見せかけている。

 電子メールの発信者は「(ランダムな差出人)@microsoft.(ランダムな国ドメイン)」。ランダムな国ドメインには,「de」「ch」「at」「il」などが使われ,ランダムな差出人には次のいずれかの文字列が使用される。

・Info
・Center
・UpDate
・News
・Help
・Studio
・Alert
・Security

 件名はドイツ語または英語で,ランダムな文字列を含み,以下の文で始まる。

・Microsoft Alarm: Bitte Lessen!
・Microsoft Alert: Please Read!

 メッセージ本文(英語の場合)は以下の通り。

New MyDoom Virus Variant Detected!
A new variant of the W32. Mydoom (W32.Novarg) worm spread rapidly through
the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the
MyDoom virus.
The worm also has a backdoor Trojan capability. By default, the Trojan
component listens on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.
+++
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19 com

 Network Associates社によると,Sober.Dは検出が難しく,多くのアンチウイルス・ソフトのチェックから漏れてしまうという。

◎関連記事
2004年2月のウイルス被害状況,「Sober-C」が再びワースト1に
猛威を振るう「Mydoom」ウイルス,その“手口”を解説する 
「『MyDoom』がインターネット史上最悪の急拡大,『SoBig.F』をはるかに上回る」,米社が報告
「2004年,北米ISPのワーム対策コストは約2億4500万ドルに」,カナダ企業が予測
々と亜種が登場,ワーム作成者どうしの勢力争いか?」,アンチウイルス・ベンダーが分析
Netskyウイルスの変種が流行中,拡張子が「.pif」の添付ファイルに注意
「1月はMydoomが猛威,巧妙化するウイルス
ウイルスは,今年も“心のスキ”を狙い撃つ

[発表資料へ]