ニュース
2004/05/12 14:12 更新
Cycle、Wallon……Windowsの脆弱性を悪用するワームが続々登場
WindowsやIEに存在するセキュリティホールを悪用して感染を広めるウイルスが、新たに2種類登場した。
5月10日から11日にかけて、ウイルス対策ベンダー各社から、WindowsやInternet Explorer(IE)に存在するセキュリティホールを悪用して感染を広める2種類のウイルスに対する警告が出されている。ベンダーによって危険性の判断はまちまちだが、海外で拡散していることもあり注意が必要だ。
1つめは、Sasserと同様にWindowsのLSASSの脆弱性を悪用する「Cycle.A」だ。これもSasserと同様、電子メールでの拡散は行わないものの、MS04-011のパッチを適用していないPCならば、ネットワークに接続しているだけで感染する恐れがある。
Cycle.Aはひとたび感染すると、TFTPサーバを起動して自らの感染活動を行う。ユニークな点としては、もし対象PCがMSBlast(Blaster)やNetskyに感染していた場合、そのプロセスを終了させようと試みること、5月18日になると「www.irna.com」「www.bbcnews.com」の2つのサイトに対してDoS攻撃を仕掛けるようになっていることなどが挙げられる。
もう1つのウイルスは、「Wallon.A」だ。こちらは、2月に公開されたMS04-004とMS04-013の脆弱性を悪用する、大量メール送信型のワームである。
Wallon.Aは、HTML形式の電子メールの形で送られてくる。このメールには、Yahoo!へのリンクに見せかけたURLが記されており、パッチを適用していないマシン上でこのリンクをクリックしてしまうと、ワーム本体がダウンロードされる。Yahoo!のリダイレクトサービスを利用し、他のサイトにあるワーム本体で、Windows Media Playerフォルダ内のWMPLAYER.EXEを上書きする仕組みだ。
トレンドマイクロによるとWallon.Aは、ドイツを中心としたヨーロッパ、中東、アフリカ地域で流行が確認されているという。いずれにしても、英文で怪しげな(といってもYahoo!のアドレスではあるのだが)URLが記されたHTMLメールを受け取ったならば、さっさとゴミ箱行きにするのが正解だろう。
別記事でも触れられているとおり、Sasserについてもいまだに新たな亜種が登場している。一連のワームに感染しないためには、改めてWindows Updateを実行し、これまでにリリースされたパッチが適用されていることを確認しておくとともに、手元のウイルス対策ソフトウェアを最新の状態にアップデートしておくことが重要だ。
関連記事Sasserワームにまた新たな亜種出現
ネット接続だけで感染する「Sasser」発生、連休明けに厳重注意を
マイクロソフト、4月の月例パッチをリリース――今月は盛りだくさん
MS、IEの脆弱性に対応の臨時パッチ
関連リンク
シマンテック:ウイルス辞典
トレンドマイクロ:ウイルスデータベース
日本ネットワークアソシエイツ:最新ウイルス一覧
ソフォス
[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.