メールを大量に送信して感染拡大をはかるタイプのウイルスが確認されたとして、9日以降、セキュリティベンダーやマイクロソフトが相次いで注意を呼びかけている。
このウイルスは、自らが送り付けるメールの件名から「Here you have」ウイルスと呼ばれているが、「Just for you」「hi」という件名のメールを送信することも確認されている。
これらのメールには、一見すると、PDFファイル(.pdf)またはwmvファイル(.wmv)を指しているようなリンクが記載されている。しかし、これらは偽装されたもので、実際はスクリーンセーバーファイル(.scr)へリンクしている。このSCRファイルがウイルス本体で、リンクをクリックしてファイルをダウンロード、実行するとウイルスに感染する。
マイクロソフトやシマンテックの情報によると、このウイルスは、感染パソコンの中のMicrosoft Outlookのアドレス帳や、Yahoo! Messengerのコンタクトリストに含まれているメールアドレスに対し、上記のメールを送りつける。さらにこのウイルスは、自動実行機能も悪用する。リムーバブルドライブ、マップされたドライブ、共有ドライブに自分自身をコピーし、感染拡大を図ろうとする。また、感染パソコンではセキュリティソフトが無効にされるほか、一部の実行ファイルが削除されたり、ホストファイルが書き変えられたりする。
ただし、メールが出回り始めてからかなり早い段階で、リンク先ファイルにアクセスできないよう対策がとられたようだ。編集部では10日に、同ファイルにアクセスできなくなっていることを確認している。ウイルス対策ソフトの検出状況を見ると、10日早朝で30%、11日朝には86%だった。
マイクロソフトでは、対策として、受信したメールの送信者が知人であっても、疑わしかったり予期しないリンクが含まれていたりする場合には、クリックしないようにと呼びかけている。ウイルス感染を防ぐための基本中の基本ともいえることだが、十分注意していただきたい。
(2010/09/13 ネットセキュリティニュース)
■新たな大量メール送信型ワーム Worm:Win32/Visal.B を確認、定義ファイルを最新に!(日本のセキュリティチームのブログ)
http://blogs.technet.com/b/jpsecurity/archive/2010/09/10/3354604.aspx
■「Here you have」ウイルス(別名「W32@MM」)が蔓延中(McAfee Labs Blog)
http://www.mcafee.com/japan/security/mcafee_labs/blog/widespread-reporting-of-here-you-have-virus.asp
■新たな電子メールワームの発生: "Here you have"(Symantec Connect)
http://www.symantec.com/connect/ja/blogs/here-you-have
■メールやUSBメモリで感染を広げるウイルスを確認(トレンドマイクロ)
http://is702.jp/news/793/partner/12_t/
■早くも終焉を迎えた「Here You Have」(エフセキュアブログ)
http://blog.f-secure.jp/archives/50443568.html
■ウイルス情報
・Worm:Win32/Visal.B[英文](Microsoft)
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3aWin32%2fVisal.B
・W32/VBMania@MM(マカフィー)
http://www.mcafee.com/japan/security/virV.asp?v=W32/VBMania@MM
・W32.Imsolk.B@mm(シマンテック)
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2010-090922-4703-99
・WORM_MEYLME.B(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MEYLME.B