「ビン・ラディン拘束」でユーザーをだまそうとするトロイの木馬

[ITmedia]

　ウイルスベンダー各社は6月3日、「オサマ・ビン・ラディンが拘束された。テレビで画像をキャプチャして添付した」などと騙って添付ファイルを開かせようとするトロイの木馬について警告を発した。日本国内でも報告例があるという。

　このトロイの木馬は、「Bobax.P」（トレンドマイクロ）や「Bobax.Z」（シマンテック）、「Bobax.worm.oおよびDownloader-ABL」（マカフィー）などと呼ばれている。スパムメールを通して、ユーザーに自ら悪意あるファイルを実行させることで感染を広めようとする。また、WindowsのLSASSの脆弱性（MS04-011）も悪用して拡散するという。

　メール本文にはいくつかパターンがあり、ビン・ラディン拘束や「逃亡しようとして射殺されたサダム・フセイン元大統領」のほか、「久しぶり。ちょっとこれを見てみて」（いずれも英文）といった一般的な内容のものもある。いずれにせよ、ユーザーの注意を引いて、自ら添付ファイルをクリックさせようとする手口だ。

Bobaxの新亜種が送り付けるメールの例

　添付ファイルの名称は、「pics」「Secret」といった名前にzipやpifといった拡張子の組み合わせだ。もし添付ファイルを実行してしまうと、悪意あるWebサイトに用意された「d.gif」という名称のファイルがダウンロードされる。このファイルは自らのコピーを作成し、いくつかのレジストリを変更するほか、ウイルス対策やセキュリティソフトの機能を停止させる。さらに、新たな犠牲者を出すべくスパムメールを送信する。

　各社ともパターンファイルの対応を進めている。また感染を防ぐには、こうした添付ファイルは安易にクリックせず、Windowsのパッチを確実に当てておくことも重要だ。