感染するとボットに――AIMワームに警告

「W32.pipeline」ワームは感染したマシンにrootkitやトロイの木馬をインストールし、ボットネットを作ろうとする。

[ITmedia]

　IMセキュリティを手掛ける米FaceTime Security Labsは9月18日、AOL Instant Messenger（AIM）を介して広がる新たなワームを発見したと報告した。

　このワーム「W32.pipeline」は、AIMの友だちリストを介して感染を拡大する。友だちからのインスタントメッセージのように見え、「あなたの写真をわたしのブログにアップロードしてもいい？」というテキストとURLを含む。このURLをクリックすると、JPEGを装った実行可能ファイル「image18.com」がダウンロードされる。

　このファイルは実行されると、rootkitやトロイの木馬などのファイルをダウンロードする。ダウンロードされるファイルによって、RPCDBという不要なサービスが作成されたり、SMTPポート25番が開放されたり、ファイルアップロードサイトにアクセスしようとするなどの症状が起きる可能性がある。ADS（代替データストリーム）を利用しようとするファイルもあるという。

　W32.pipelineの最終的な目的はボットネットを作ることではないかとFaceTimeの研究者は考えている。このワームが作り出すボットネットは、特定のIRCクライアントしか操作できない認証機能を持つなど、かつてない高度な特徴を備えると説明している。

　FaceTimeはこのワームの危険度を「高」とし、ほかのユーザーから送られてきたリンクをクリックしないようアドバイスしている。