自己アップデートする新ワーム Sonic 発見

ウイルス撃退プログラム開発会社の Kaspersky Lab が、新しいインターネット ワーム Sonic が見つかったと ユーザーに警告している。このワームは、2000年10月30日午前、フランスとドイツで「野生の状態で」実際に伝 染しているのが見つかった。

この悪意あるプログラムの際立った特徴は、インターネット経由で自分自身をアップデートする。つまり、自動 的に追加コンポーネント機能をダウンロードすることだ。

ワームは、ローダーとメインモジュールの2つの部分から成り、ローダーのコピーは Eメールによってインター ネット上でばらまかれている。いったんウイルスが PC の OS に入り込むと、無料でホームページが開設できる 人気サイト Geocities にあるクラッカーのサイトに接続を開始する。

Sonic ワームはサイトから、メインモジュールをダウンロードし、感染した PC にインストールを違法に試みる 。ダウンロードの手順は、ワームの作者が内容を決められるように作られている。ダウンロードは次のように行 われる。

• 1) ワームがクラッカーのサイトに接続する。
• 2) そのサイトで手に入るワームのメインモジュールのバージョン番号が含まれている「LASTVERSION.TXT」 という名前のファイルをダウンロードする。
• 3) 感染した PC にメインモジュールがインストールされていない、あるいはサイトにあるバージョンのほ うが新しい場合は、「nn.ZIP ( "nn" は現在のメインモジュールのバージョン番号) 」と「GATEWAY.ZIP (ロー ダーの最新バージョン) 」という2つのファイルをダウンロードする。

メインモジュールの主な目的は不法なデータ収集で、ユーザが PC 上で行うすべての操作を追跡したり、感染し た PC を遠隔制御できる (いわゆるバックドア機能) ようにする。Kaspersky Lab の調べでは、ワームの作者は 簡単にメインモジュールの中身を変えることができ、ことによっては、より危険で破壊力を持ったモジュールに 変えられる恐れがあるという。

メインモジュールがインストールされると、ワームは Windows アドレスブック (WAB) にこっそりアクセスし、 Eメールアドレスを抜き出して、すべての受取人にワームローダーのコピーを含んだ感染メッセージを送信する 。現在わかっているワームのバージョンでは、感染メッセージは「Choose your poison」というサブジェクトで 、「GIRLS.EXE」という添付書類がついてくる。ヘッダーには次のように表示される。

「Subject: Choose your poison; Attachment: GIRLS.EXE」

Sonic ワームの詳細は、Kaspersky's Virus Encyclopedia (www.viruslist.com) で入手可能。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール