「ママがこんな写真を……」で誘うMSNワーム亜種

[ITmedia]

　セキュリティ企業Symantecは8月20日、MSN Messenger（Windows Live Messenger）で感染するワームの新しい亜種が見つかったと報告した。今回は「君のママがこんな写真を送ってきたんだけど」というメッセージを利用。このワームにはボット運営者自身も悩まされているという。

　今回の亜種「Scrimge.E」が送りつけるメッセージは、ママの写真バージョンの「lol, your mom just sent me this picture?」のほか、「Did you take this picture?」（この写真撮った？）、「Is that you on the left?」（左にいるのは君かな）など、いくつかバリエーションがあり、手口も巧妙化しているという。

　メッセージはユーザーが接続しているMSNコンタクトにあてて無作為にを送りつけられ、「img807.zip」というファイルの受信を促す。このzipファイルには「img807.jpg-www.photoalbums.com」というファイルが含まれ、これが実行可能ファイルになっている。

実行ファイルを含んだzipファイルの受信を促すメッセージ（Symantecより）

　感染すると、IRCサーバの「vpn.basecore.info」に接続してコマンドを受け取れる状態にするとともに、ワームの動作状況についての情報をコントロールサーバに送信する。

　Symantecがワームのテストを実施している最中に、コントロールサーバとの接続が確立され、ボット運営者2人がログインしてきてMSN Messengerで自分たちのボットネットワークについて会話を始めたという。

　2人は自分のワームのプログラムエラーについて文句を言っていたほか、自分自身のワームに感染してしまい、うまく食い止められずにいることを打ち明けた。Symantecがさらにモニタを続けたところ、2人はそれぞれ新しい亜種をリリース。これでエラーの解消を狙ったが、ワームはIRCチャンネルに接続した後にクラッシュしてしまったという。