URL表記を装うワーム,「Myparty」が感染を広める

【国内記事】2002.01.28

 1月28日,電子メールを通じて感染するタイプのワーム「Myparty」が国内で感染を広めている。Mypartyの本体である添付ファイル名がURLを装っていることが特徴で,実際にいくつか被害も報告されている。

 Mypartyは電子メールの形で到着し,添付ファイルを実行するとマシンに感染する。プレビューしただけで感染することはない。

 ただ注意が必要なのが,添付ファイル名が「www.myparty.yahoo.com」と,一見したところURLと勘違いしそうな名前を装っていることだ。このため,単にWebページへジャンプするだけと勘違いしてダブルクリックし,ウイルスに感染したケースが多いものと思われる。

 なおメールのサブジェクトは「new photos from my party!」,本文は「My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!」(私のパーティ...とても楽しかったです。私のWebページに新しい写真をアップしました。よかったら写真をカラープリントしてね。それじゃ)となっている。

 この本文からも,URLリンクを装い,ユーザーにダブルクリックさせようというウイルス作者の意図は明らかだ。だが,Mypartyの実体はCOMファイルで,アイコン表示もWeb/HTMLファイルのものとは異なる。

 ひとたび添付ファイルを実行(ダブルクリック)すると,ウイルスは自身を「regctrl.exe」の名前でローカルディスクの「C:\Recycled」フォルダにコピーし,さらにそのファイルを実行する。同時に,レジストリからユーザーのデフォルトSMTPサーバを,またWindowsアドレス帳から電子メールアドレス情報を探し出し,自分自身を送り付ける。

 今のところ,このウイルスが他のファイルやレジストリに修正を及ぼしたケースはない。だが,これまでのワームと同様,亜種が登場する危険性は十分にある。日本ネットワーク・アソシエイツ,トレンドマイクロなどのベンダーは,このウイルスの危険度を「中」としている。

 被害の広がりを受けて,1月28日午後遅くから夜にかけて,各ウイルス対策ソフトウェアベンダーも対策を取った。このウイルスに関する情報ならびに最新のパターンファイルは,それぞれ以下のサイトから入手できる。

日本ネットワーク・アソシエイツ[1/31リリースの ウイルス定義ファイル4184で対応,それまではExtra.datで対応]

トレンドマイクロ[パターンファイル 210以降で対応]

シマンテック

F-Secure(山田洋行)

ソフォス[28日午後9時時点で対応ファイルは準備中]

IPA

[ ITmedia]



Special

- PR -

Special

- PR -