悪性メールワーム Goner 発生、最大級の警戒を

新種のワームが出回りだした。毎度毎度の話題で、もううんざりという向きもあるだろうが、今回のワームはかなり悪性のものなので、注意が必要だ。

McAfee.com (NASDAQ:MCAF) のウイルス対策チーム AVERT は4日、同ワームを検出して、『Goner』(W32/Goner@MM) と名づけた。また危険度には最高ランクをつけ、大量感染の警告を出している。

同社は、『NIMDA』や『CODE RED』、『Melissa』に『ILOVEYOU』といった悪名高いワームに、比肩しうるほど危険性が高いと述べた。同社のセキュリティアーキテクト、Sam Curry 氏は同ワームの危険性を、「スタートレック風にいうなら、防御シールドの解除を明確に意図している点だ」と説明する。同氏は「悪名高いほかのワーム類と同じくらい破壊的な可能性がある。しかしまだ発生のごく初期段階なので、大きな影響が出始めるまでには、もう少し時間がかかる」と述べた。

同氏が「防御シールドの解除」と表現したのは、Goner がセキュリティ関係のファイルを削除しようとする点だ。同ワームが削除するファイルの中には、パーソナルファイヤーウォール製品や、アンチウイルス製品のファイル名が数多く含まれている。

Goner の感染経路は主にメールで、感染すると大量のメール発信を伴う。メールのあて先には、Microsoft Outlook のアドレス帳を利用して、登録してある全メールアドレスに感染メールを送り込む。また同ワームは、『ICQ』のファイル転送を利用して感染をひろげたり、『IRC』を使って DDoS 攻撃を仕掛けるといった動作もする。

主な感染手段となっているメールの特徴を挙げておこう。メールの件名は「Hi」と簡潔で、本文も「How are you ? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it! (お元気ですか？ このスクリーンセーバーを見たら、急にあなたのことを思い出して、急いで送ってあげなきゃって思いました。きっと気に入るよ！)」と短いものになっている。そして問題の添付ファイルは「GONE.SCR」というファイル (ちなみに.SCRというのはスクリーンセーバーを示す拡張子) だ。

なお AVERT の発表によれば、添付ファイルとしてついてきたスクリーンセーバーファイル「GONE.SCR」を実行しなければ、感染はしないという。しかし感染経路がメールだけとは限らないため、よくよく注意するにこしたことはない。