URL表記を装うワーム,「Myparty」が感染を広める
【国内記事】 | 2002.01.28 |
1月28日,電子メールを通じて感染するタイプのワーム「Myparty」が国内で感染を広めている。Mypartyの本体である添付ファイル名がURLを装っていることが特徴で,実際にいくつか被害も報告されている。
Mypartyは電子メールの形で到着し,添付ファイルを実行するとマシンに感染する。プレビューしただけで感染することはない。
ただ注意が必要なのが,添付ファイル名が「www.myparty.yahoo.com」と,一見したところURLと勘違いしそうな名前を装っていることだ。このため,単にWebページへジャンプするだけと勘違いしてダブルクリックし,ウイルスに感染したケースが多いものと思われる。
なおメールのサブジェクトは「new photos from my party!」,本文は「My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!」(私のパーティ...とても楽しかったです。私のWebページに新しい写真をアップしました。よかったら写真をカラープリントしてね。それじゃ)となっている。
この本文からも,URLリンクを装い,ユーザーにダブルクリックさせようというウイルス作者の意図は明らかだ。だが,Mypartyの実体はCOMファイルで,アイコン表示もWeb/HTMLファイルのものとは異なる。
ひとたび添付ファイルを実行(ダブルクリック)すると,ウイルスは自身を「regctrl.exe」の名前でローカルディスクの「C:\Recycled」フォルダにコピーし,さらにそのファイルを実行する。同時に,レジストリからユーザーのデフォルトSMTPサーバを,またWindowsアドレス帳から電子メールアドレス情報を探し出し,自分自身を送り付ける。
今のところ,このウイルスが他のファイルやレジストリに修正を及ぼしたケースはない。だが,これまでのワームと同様,亜種が登場する危険性は十分にある。日本ネットワーク・アソシエイツ,トレンドマイクロなどのベンダーは,このウイルスの危険度を「中」としている。
被害の広がりを受けて,1月28日午後遅くから夜にかけて,各ウイルス対策ソフトウェアベンダーも対策を取った。このウイルスに関する情報ならびに最新のパターンファイルは,それぞれ以下のサイトから入手できる。
日本ネットワーク・アソシエイツ[1/31リリースの ウイルス定義ファイル4184で対応,それまではExtra.datで対応] |
[ ITmedia]