ようこそ画面に「ロン」? 新たなハリー・ポッター便乗ワームはUSBメモリで感染

完結編を装い、USBメモリで拡散するワームが出現。感染するとハリーと同級生の名を使った新規ユーザーを作成してしまう。

» 2007年06月29日 09時13分 公開
[ITmedia]

 ハリー・ポッター完結編の出版と映画最新作の公開を間近に控え、今度はUSBフラッシュメモリ経由で感染する便乗ワーム「Hairy-A」が出現した。

 Hairy-AはUSBフラッシュメモリに自らをコピーして拡散する。WindowsでUSBメモリを自動実行する設定になっている場合、接続すると自動的に感染。USBドライブのrootディレクトリに、完結編のタイトルを使った「HarryPotter-TheDeathlyHallows.doc」というファイルを保存する。

 このファイルの中身は「Harry Potter is dead」という1文のみ。感染したPCには登場人物の名で新規ユーザーが作成され、「ハリー・ポッター」「ハーマイオニー・グレンジャー」「ロン・ウィーズリー」のユーザーが並ぶ。

Sophosが紹介した「Hairy-A」感染後のログイン画面

 ユーザー名をクリックしてログインすると、バッチファイルで英語のメッセージを表示。Internet Explorer(IE)の設定が変更され、スタートページがAmazon.comの偽ページにリダイレクトされてしまう。

 Sophosでは、マルウェア拡散の手口としてUSBドライブが使われるケースが増えているとして、注意を促している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ