ITmedia NEWS >

初期型MyDoom感染マシンに取り憑く「MyDoom.C」が登場

» 2004年02月10日 09時37分 公開
[IDG Japan]
IDG

 インターネットセキュリティ関連企業からの情報によれば、2月9日に、新バージョンのMyDoom電子メールワームがインターネット上にまん延し始めていることがわかった。

 新バージョンのMyDoom.Cは、1月に流行したウイルスに変更を加えたもの。初期型とは異なり、この変種は電子メール、KazaaなどのP2Pネットワークを使って感染するタイプではなく、インターネットにおける影響は少ないと、セキュリティサービスプロバイダーのLURHQでは説明している。

 MyDoom.Cは初期型のMyDoom.Aを改良したもので、オリジナル版の電子メールワームの問題点をフィックスしており、一部のマシンからはwww.sco.comへのDoS攻撃を実行できないという「バグ」を修復している。オリジナルMyDoomでは2004年2月12日にDoS攻撃を中止するという終了日時設定も消去されているとLURHQは述べている。

 また、感染したマシンにバックドアを開くのではなく、新バージョンではワームのオリジナルソースコードを圧縮したファイル形式で配布するという。

 しかし、MyDoom.Cは初期型ウイルスの中で最も危険な機能は削除している。感染マシンがウイルスを含んだ電子メールメッセージを送信するための、非常に効率のよいSMTPエンジンが削除されている。このコンポーネントにより、MyDoomは市場最速で広がったウイルスという悪名を残したとウイルス対策ソフトウェア会社は説明する。

 セキュリティ企業iDefenseのセキュリティアラートによれば、新型のMyDoom.Cでは既にオリジナルMyDoomに感染しているマシンを3127番ポートによって検知し感染しようとする。

 この方法により、MyDoom.Cは既に感染しているといわれる約50万台がベースとなるが、既に感染しているマシン以外に感染することはないだろうとLURHQとiDefenseは述べている。

 MyDoom.Cの作者はトロイの木馬「バックドア」を取り去ったが、このワームのソースコードは含めており、新型ウイルスに感染したマシンには、そのコードが残される。

 最初のMyDoomウイルスとは異なり、MyDoom.CはSCO Groupのウェブサイトへの攻撃は行わない。しかし、MyDoom.Bで始まったMicrosoftのウェブサイトへの攻撃は続けるとLURHQとiDefenseは述べている。

 新しいMyDoom変種は既存のウイルスの除去は行わず、並行して動作すると、LURHQの上級セキュリティ研究員、ジョー・スチュワート氏は説明する。

 2004年2月8日から12日までの間に感染されたマシンは、Microsoftサイトへの同期DoS攻撃をランダムに行うよう設定されている。2月12日以降に感染したマシンはMicrosoftウェブページへの攻撃を継続するようになるとLURHQ。

 iDefenseのアナリストによれば、このワームのコードにはFordのウェブサイトであるwww.ford.comのIPアドレスが含まれている。しかし、Fordが標的となっているかどうかは明確ではない。

 積極的な感染機能を持たないふつうの電子メールワームとなったこと、MyDoom.Aのソースコードが含まれていることから、MyDoomの作者は店を閉め、他のウイルス作者に引き継がせ、より高度なものにしてもらおうと目論んでいるのかもしれない、とLURHQは推測する。

 「この新版でインターネットが震撼するようなことはないと思う」とComputer Associates Internationalの上級セキュリティ担当者、イアン・ハマロフ氏。

 CAの研究員らは新バージョンの脅威はMyDoom.Aとは異なるものだと見ている。2種類のワームの内部コードを比較し、ハマロフ氏は新たな脅威を「DoomJuice」と名付けている。

 新種のワームはMyDoom.AやMyDoom.Bのように拡散する機能は持っていないが、インターネットユーザーに対する脅威とはなっていると同氏は指摘する。

 このワームは既にMyDoomの初期型に感染していないインターネットユーザーにとっては脅威とならないが、MyDoom.Aのソースコードが全世界に拡散することより、インターネットの全体的なセキュリティが深刻な危機に見舞われる可能性があるとスチュワート氏は述べている。

 MyDoomの作者によるコンパイルされていないコードは、経験の少ないウイルス作者にとっては使いでのあるものだと同氏は指摘。

 「そこにはたくさんの素材がそろっている。変更されたSMTPエンジン、拡散アルゴリズム、(MyDoom.Aを)Kazaaに感染を広げている手法、ハードディスクから電子メールアドレスを取得する方法など」と同氏。

 経験の浅いコンピュータプログラマーでも、このコードを利用し、少しだけ変更してリコンパイルすれば、独自バージョンのMyDoomをリリースすることができる、と同氏は指摘する。

 「私が一番心配しているのは、ソースコードが入手可能になったことで、誰がこれを手にし、何をやろうとするかだ。模倣犯が登場するはずだ」とスチュワート氏。

Copyright(C) IDG Japan, Inc. All Rights Reserved.