一時はメールトラフィックの1〜2割を占めた「Happy New Year!」ワーム

新年の挨拶メールを装ったワームが、2006年末、ウイルスの勢力地図を塗り替えるほどの勢いでまん延した。

» 2007年01月05日 18時54分 公開
[ITmedia]

 2006年末に登場したばかりのワームが、ウイルスの勢力地図を塗り替えるほどの勢いでまん延した。ウイルス対策ベンダー各社の調べによると、一時は、インターネットを流れるメールの1〜2割がこのワームで占められる状態だったという。

 2006年12月29日に発見されたこのマルウェアは、いわゆるマスメール型(メール大量送信型)ワームの亜種だ。「Tibs」(Kaspersky Lab)や「Luder」(F-Secure)、「Dref」(Sophos)、「Mixor.q」(Symantec)、「Nuwar」(Trendmicro)と、ベンダーごとにばらばらの名称で呼ばれている。

 ワームは英文の「Happy New Year!」「Fun 2007!」といったタイトルが示すように、新年の挨拶を装ったメールとして流通する。本体は「postcard.exe」「greetingcard.exe」などという名称の添付ファイルだ。これを実行してしまうと感染し、レジストリの改ざんやセキュリティ対策ソフトの停止、トロイの木馬やキーロガーといったマルウェアのダウンロードといった行為が行われる。

 ウイルス対策各社の観測によると、このワームは2006年12月30日から31日にかけて、大量のメールをインターネット上にばらまいた(関連記事)

 F-Secureの12月31日のブログによると、同社が一般に公開している観測システムでは、全体の16.9%がこのワームで占められた。非公開システムの観測では、22.41%を占めるに至ったという。

 またSophosの情報では、12月31日にネットに出回っていた不正なメールの93.7%は、このワームによるものだった。2006年12月のウイルス検出状況を見ても、NetSkyやMytobといった「常連」を押しのけて全体の35.2%を占め、ワーストワンの座についた(関連記事)

 さらにCommtouchでも、12月29日にはインターネット上の電子メールトラフィックの12%近くがこのワームによって占められるとの調査結果を報告した。同社はまた、ワームが活動を開始してからわずか65時間のうちに、3262種類に上る亜種を検出・ブロックしたことも明らかにしている。

 「このワームはソーシャルエンジニアリングの手法を用いており、これは決して目新しい手段ではない」とSophosのシニアセキュリティコンサルタント、キャロル・テリオ氏はコメントしている。

 SymantecのDeepSightの情報によると、このワームが大量のメールをばらまいたのは事実だが、「感染率は非常に低くとどまっていると見られる」という。また各社のモニターシステムを見ても、1月5日の時点では、このワームはほとんど表示されない。

 しかしSophosが指摘しているとおり、休暇明けにたまったメールをチェックしている際にこのワームに引っかかり、感染する可能性は否定できない。ウイルス対策ソフトの更新を行うとともに、添付ファイルを安易に実行しないよう、細心の注意が必要だろう。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ