パスワード保護されたZIPファイルに身を隠し、「Spyware Detected!(スパイウェア検出)」「Virus Alert!(ウイルス警報)」などという物騒な件名のメールで届く、通称「Storm Worm」の亜種(※)が、またもや手を変えて登場した。新しい隠れ蓑は、パスワード付のRARファイルだ。
手口は先のZIPと同様、「Virus Alert!」などの件名でパスワード保護されたRARファイルを添付。GIF画像ファイルの本文で「あなたのパソコンはワームに感染しているので、アーカイブを開いてパスワードを入力し、今すぐパッチを当てなさい」と促す。言われるままに操作すると、プログラム本体がシステムにインストールされ、ウイルスメールの送信や別の悪質なプログラムのダウンロードなどが始まる。
Storm Wormは今年1月、欧州の暴風雨を伝えるニュースに見せかけた大量のスパムメールに添付され、世界中にばら撒かれた。メールの件名は次々と変わり、「ロシアのミサイルが中国機を打ち落とした」「サダム・フセインは無事」などの偽ニュース系から、やがては「あなたに…愛を込めて」などのLove系の亜種へと変化していった。
先月に入って再来襲した亜種は、「米国のミサイル攻撃でイラン人2万人死亡」といったニュース系に始まり、またもやLove系に移行。さらに自身をZIP形式のアーカイブファイルにし、パスワードで保護することによってウイルス対策ソフトの検出から逃れようとする第三波がやってきた。今回はアーカイブ形式をRARに変更することで、再び網をすり抜けようという魂胆なのだが、RAR形式はWindowsが標準でサポートしていないためか、あるいはユーザーがZIPで学習済みだったからか、ZIPの時のようなスパムの嵐にはなっていないようだ。
※通称「Storm Worm」の亜種:シマンテック名「Peacomm」、マカフィー、トレンドマイクロ名「Nuwar」
(2007/05/01 ネットセキュリティニュース)
■Spam Attack RARed Trojan[英文](Symantec Security Response Weblog)
http://www.symantec.com/enterprise/security_response/weblog/2007/04/spam_attack_rared_trojan.html
■ZIP then, RAR now. What's next[英文](TrendLabs)
http://blog.trendmicro.com/zip-then2c-rar-now-what27s-next3f/
【ウイルス情報】
・WORM_NUWAR.RAR(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FNUWAR%2ERAR
・W32/Nuwar@MM!rar(マカフィー)
http://www.mcafee.com/japan/security/virN.asp?v=W32/Nuwar@MM!rar
・Trojan.Packed.13(シマンテック)
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-041222-3056-99
【過去記事:ネットセキュリティニュース】
・「ウイルス警報」装うメールにご用心! 添付のZIPファイルにワーム(2007/04/16)
・第三次世界大戦勃発? ウイルス付きデマメール出回る(2007/04/10)
・ウイルスメールの波状攻撃、手を変え品を変え進攻中(2007/01/25)