Confickerと同じ脆弱性を突くワームが出現ワーム作者に仲間意識か

新たに見つかった「Neeris」ワームの亜種は、Confickerと同じ「MS08-067」の脆弱性を悪用する機能を採用していた。

» 2009年04月07日 08時36分 公開
[ITmedia]

 米Microsoftは、悪名高いConfickerワームと同じWindowsの脆弱性を突くワームの亜種を新たに見つけたと伝えた。

 ConfickerはWindows Serverサービスの脆弱性「MS08-067」(昨年10月にMicrosoftがパッチを公開済み)を突いて感染を広げたが、今回見つかった「Neeris」ワームの亜種は、これと同じ脆弱性を悪用していた。

 Neerisの最初の亜種が出現したのは2005年5月。これまでは別の脆弱性「MS06-040」を悪用していた。Autorunを使って感染する手口などはConfickerと共通しており、特に今回の亜種はConfickerとよく似た特徴を持っているという。

 しかもこの亜種は、Confickerの動向が注目された3月31日から4月1日にかけて急増した。ただしConfickerによってNeerisがダウンロードされたわけではなく、両ワームの関連は実証されていないという。

 Microsoftによれば、もとはConfickerの作者がNeerisを真似た可能性もあるが、その後、NeerisがMS08-067の脆弱性悪用機能を採用した状況を見ると、両ワームの作者は手を組んでいるか、少なくとも互いに意識し合っているともみられる。

 セキュリティ企業の米McAfeeも、このワーム(McAfeeは「IRCbot.gen.a」と命名)がConfickerと同じ脆弱性を突いていることを確認した。ワームを作成する側はMS08-067の脆弱性が「またとないチャンス」ととらえてボットネット拡大を図っていることがうかがえると同社は指摘。MicrosoftとMcAfeeは、自社のウイルス対策製品の定義ファイルを更新し、この亜種を検出できるようにしている。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.