ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

暴風被害便乗スパム、次々形を変え感染拡大

» 2007年01月24日 10時05分 公開
[ITmedia]

 欧州の暴風被害に便乗したスパムで急拡散したトロイの木馬がその後も進化を続け、形を変えて感染を拡大させている(関連記事)

 問題のトロイの木馬は「Peacomm」(Symantec)、「Downloader-BAI」(McAfee)、「Small.DAM」(F-Secure)など各社バラバラの名称で呼ばれている。1月19日ごろをピークとして大量にばらまかれたスパムメールで、添付ファイルに組み込まれて拡散した。

 スパムメールは当初、欧州で実際に死者を出した暴風被害に乗じて「欧州を襲った暴風で230人が死亡」という件名が付いていたが、その後、メールの件名や添付ファイルの名称を変えた新バージョンが続々と登場。「米ライス国務長官が独メルケル首相をキック」「中国のミサイルがロシアの衛星を撃墜」などの件名が使われ、最近では安値株を売り込む内容の画像スパムに変わっているという。

 Symantecによると、Peacommは感染するとほかのマルウェアをダウンロードする目的でP2P通信を確立しようとする。当初はUDP4000番ポートが使われていたが、後にUDP7871番ポートに変わったという。

 さらに、新バージョンではrootkit機能も付加された。ただ、マルウェア作者たちができるだけ早く新バージョンを出そうと躍起になるあまり、rootkitの一部機能が正しく実装されていないようだという。

 Symantecがブログで公表した12月22日から1月22日の1カ月間のマルウェア検出件数を見ると、Peacommが27.8%で最も多く、年末年始にかけて流行した「ハッピーニューイヤーワーム」こと「Mixor.Q」(18.9%)を上回った。3位に入ったトロイの木馬「Packed.8」もPeacommと関連しているため、Peacommスパムの数はさらに多くなる計算だという。

 同社のスパム対策製品で検出されたマルウェアの数は、平時は1日200万通以下で推移しているが、Mixor.Qワームが出現した年末年始にかけては800万件に達し、1月19日にはPeacommの影響で1300万件を超えた。

 SymantecはMixor.QワームとPeacommの関連も指摘している。初期のMixor.QにはPeacommは含まれていなかったが、その後手が加えられてPeacommが組み込まれるようになったといい、Mixorの感染数と、後のPeacommの増加には直接的な関係があると見られる。

 なお、今回のマルウェアは、rootkit機能を持つものも持たないものも、UACが有効になったVistaではインストールされなかったという。

 Peacommをばらまくスパムは形を変えて現在も出回っているとして、Symantecでは引き続き、最新のパッチ適用やウイルス対策ソフトの更新を怠らないよう注意を呼び掛けている。

Copyright © ITmedia, Inc. All Rights Reserved.