「Storm Worm」が手口切り替え、今度は会員登録メールを利用
eカードやニュース便乗で感染を広げてきたStorm Wormが、今度は会員制サイトの会員登録と称して不正サイトに誘導する手口を採用した。
今年に入って何度も形を変えて浮上しているマルウェアの「Storm Worm」が、今度は会員制サイトの登録通知を装う手口に切り替えた。US-CERTほかセキュリティ各社が8月21日、一斉にアラートを出して注意を呼びかけている。
新しい手口では、「Internet Dating」「MP3 World」など出会い系や写真、音楽などの会員制サイトを思わせるサービス名をかたり、会員登録の確認通知を装ったスパムメールを配信する。
件名は「Login Information」「Cat Lovers」「New Member Confirmation」「Free ringtones」などさまざまだが、共通しているのは、メール本文に仮IDとパスワードが記載され、リンクをクリックしてログイン情報を変更するよう促している点だ。
リンク先のサイトでは、Windows Media PlayerやWinAmpの脆弱性(いずれもパッチリリース済み)を突いて不正ファイルをダウンロード・実行させる仕組みになっている。それができない場合は、サービス利用のために「Secure Login Applet」が必要だと称し、マルウェアの「applet.exe」をインストールするよう仕向ける。
セキュリティ各社はウイルス対策ソフトやスパムフィルタで新しい手口に対応しているが、マルウェアのコードが30分ごとに変えられているという情報もある。
Storm Wormはこれまでに、関心の高いニュースに便乗したスパムやeカード配信通知、パッチ情報など次々に手口を変えたメールを利用、ボットネット感染を拡大させている。
関連記事
- Storm Worm猛威、「MS Data Access」名乗るマルウェア感染に注意
「Microsoft Data Access」という名称のマルウェアに感染させるスパムが拡散。ボットネット感染マシンの激増も報告されている。 - Storm Wormのボットネットが急拡大、「超大型」DDoSの可能性も
McAfeeによると、Storm Wormの活動が再び活発化。検出を免れる仕組みも次々に導入しているという。 - 出会い系装うStormワーム
- Storm Wormがまた浮上、グリーティングカードスパムで拡散
Storm Wormを使ったスパムメールが再び出回っているとして、US-CERTやWebsenseがアラートを出した。 - Storm Wormがまたまた猛威、「家族からのeカード」に注意
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.