メールを使って感染を広げるワーム「Sober(ソバー)」の最新亜種が、感染メールを大量に配信しているとセキュリティベンダー各社が警戒を呼びかけている。
マカフィーによると、21日に「W32/Sober@MM!M681」の亜種から大量のスパムメールが配信されたといい、同社は危険度を「中」に引き上げて警告。シマンテックは5段階中「3(中)」で、トレンドマイクロはイエローアラートを発令している。
Soberの新亜種は、電子メールに添付されたZIPファイルとして侵入するワームで、添付ファイルを実行すると、WINDOWSフォルダ(%WinDir%で通常は「 c:\windows」)内に「WinSecurity」という名前のフォルダを作成し、自分自身をコピー。パソコン起動時に自動的に実行するようにレジストリを改変する。感染すると、ディスクに保存されているファイルからメールアドレスを収集し、さまざまな件名や本文のメールを生成して自身を添付。自身がもつSMTPエンジンを使い、大量のメールを送信して感染を広げる。今回の亜種が生成するメールには、FBIやCIAをかたるものもあり、FBIのサイトでも注意を呼びかけている。
先月スタートしたCME(Common Malware Enumeration)の識別番号は「CME-681」で、各社の名称は以下のとおり。
・Win32.Sober.W(コンピュータ・アソシエイツ)
・Sober.Y(エフ・セキュア)
・Email-Worm.Win32.Sober.y(カスペルスキー)
・W32/Sober@MM!M681(マカフィー)
・W32/Sober.AA@mm(ノルマン)
・W32/Sober.AH.worm(パンダ)
・W32/Sober-Z(ソフォス)
・W32.Sober.X@mm(シマンテック)
・WORM_SOBER.AG(トレンドマイクロ)
■W32/Sober@MM!M681(マカフィー)
http://www.mcafee.com/japan/security/virS.asp?v=W32/Sober@MM!M681
■WORM_SOBER.AG(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SOBER.AG
■W32.Sober.X@mm(シマンテック)
http://www.symantec.com/region/jp/avcenter/venc/data/[email protected]
■FBI、CIA をかたる不審メールは Sober ワームの可能性(ソフォス)
http://www.sophos.co.jp/pressoffice/news/articles/2005/11/soberfbi.html
■FBI ALERTS PUBLIC TO RECENT E-MAIL SCHEME[英文](FBI)
http://www.fbi.gov/pressrel/pressrel05/emailscheme112205.htm
■ネットセキュリティニュースニュース
・ウイルス名の違いによる混乱、共通の識別番号「CME」で解消へ(2005/10/14)
・【ウイルス警報】マカフィー「W32/Sober.r@MM」を危険度「中」で警告(2005/10/06
・ウイルス警報:Soberワームの亜種が急激に拡大(2005/05/05)